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A. P FF 


信息 安全 已 成 为 国家 安全 的 重要 组 成 部 分 ,也 是 保障 信息 社会 和 信息 技术 可 持续 发 展 
的 核心 基础 。 信 息 技 术 的 迅猛 发 展 和 深度 应 用 必 将 带 来 更 多 难以 解决 的 信息 安全 问题 ,只 
有 掌握 了 信息 安全 的 科学 发 展 规律 , 才 有 可 能 解决 人 类 社会 遇 到 的 各 种 信息 安全 问题 。 但 
科学 规律 的 掌握 非 一 朝 一 夕 之 功 , 治 水 、 训 火 、 利 用 核能 曾经 都 经 历 了 漫长 的 岁月 。 

无 数 事实 证 明 , 人 类 是 有 能 力 发 现 规律 和 认识 真理 的 。 今 天 对 信息 安全 的 认识 ,就 经 历 
了 一 个 从 保密 到 保护 ,又 发 展 到 保障 的 趋 于 真理 的 发 展 过 程 。 信 息 安全 是 动态 发 展 的 ,只 有 
相对 安全 没有 绝对 安全 ,任何 人 都 不 能 宣称 自己 对 信息 安全 的 认识 达到 终极 。 国 内 外 学 者 
已 出 版 了 大 量 的 信息 安全 著作 ,我 和 我 所 领导 的 团队 近 10 年 来 也 出 版 了 一 批 信息 安全 著 
作 , 目 的 是 不 断 提升 对 信息 安全 的 认识 水 平 。 我 相信 有 了 这 些 基 础 和 积累 ,一 定 能 够 推出 更 
高 质量 和 更 高 认识 水 平 的 信息 安全 著作 ,也 必 将 为 推动 我 国信 息 安 全 理论 与 技术 的 创新 研 
究 做 出 实质 性 贡献 。 

本 丛书 的 目标 是 推出 系列 具有 特色 和 创新 的 信息 安全 理论 与 技术 著作 ,我们 的 原则 是 
成 熟 一 本 出 版 一 本 ,不 求 数 量 , 只 求 质量 。 希望 每 一 本 书 都 能 提升 读者 对 相关 领域 的 认识 水 
平 ,也 希望 每 一 本 书 都 能 成 为 经 典范 本 。 

我 非常 感谢 清华 大 学 出 版 社 给 我 们 提供 了 这 样 一 个 大 舞台 ,使 我 们 能 够 实施 我 们 的 计 
划 和 理想 ,我 也 特别 感谢 清华 大 学 出 版 社 张 民 老师 的 支持 和 帮助 。 

限于 作者 的 水 平 ,本 从 书 难 免 存在 不 足 之 处 , 敬 请 读者 批评 指正 。 
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冯 登 国 , 中 国 科学 院 软件 所 研究 员 ,博士 生 导 师 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 副 主任 委员 ,国家 
信息 化 专家 咨询 委员 会 专家 ,国家 863 计划 信息 安全 技术 主题 专家 组 组 长 .信息 安全 国家 重点 实验 室 主 任 , 国 家 计算 机 
网 络 入 侵 防范 中 心 主任 。 


随 着 全 球 信息 化 程度 的 日 益 提高 ,网络 已 经 成 为 人 类 获取 信息 、 沟 通 交 流 以 及 社会 生产 
和 生活 活动 的 一 种 不 可 或 缺 的 重要 载体 和 手段 ,信息 安全 的 重要 性 和 紧迫 性 日 益 突 显 。 随 
着 金融 能源、 交通 .电信 等 重要 基础 设施 对 网 络 的 依赖 性 逐渐 增 大 ,信息 安全 对 于 社会 和 经 
济 的 影响 也 越 来 越 大 。 信 息 安全 问题 已 经 由 个 人 、 团 体 的 隐私 与 机 密 性 问题 上 升 为 国家 的 
战略 性 问题 ,而 安全 协议 是 解决 网 络 安全 问题 最 直接 .最 有 效 的 手段 之 一 , 它 可 以 有 效 地 解 
决 源 认 证 和 目标 认证 ` 消 息 的 完整 性 .匿名 通信 抗拒 绝 服务 . 抗 抵 赖 .授权 等 一 系列 重要 安 
全 问题 。 

安全 协议 是 建立 在 密码 算法 基础 上 的 一 种 高 互通 协议 , 它 运 行 在 计算 机 网 络 或 分 布 式 
系统 中 ,为 安全 需求 的 各 方 提 供 一 系列 步骤 ,借助 于 密码 算法 来 达到 密 钥 分 发 .身份 认证 以 
及 安全 地 实现 网 络 通信 或 电子 交易 等 目的 。 

我 领导 的 安全 协议 研究 团队 ,从 1995 年 便 开始 安全 协议 的 研究 工作 ,分 两 个 方面 展开 
研究 。 重 点 采用 理论 与 实践 相 结合 的 技术 路 线 :一 方面 是 理论 与 技术 研究 ,主要 采用 以 讨论 
班 为 主 的 自由 研究 模式 ; 另 一 方面 是 应 用 与 实践 研究 ,主要 采用 以 工作 组 为 主 的 集中 研究 模 
式 。 曾 得 到 中 国 科 学 院 “ 百 人 计划 ?项 目 、 国 家 自然 科学 杰出 青年 基金 项 目 、 国 家 自然 科学 基 
金 项 目 和 国家 973 计划 项 目 课题 的 支持 ,取得 了 一 批 高 水 平 的 研究 成 果 ,培养 了 一 批 核心 骨 
干 人 才 , 发 表 了 一 批 高 质量 学 术 论 文 ,也 在 已 出 版 的 部 分 著作 中 反映 了 我 们 的 一 些 研究 成 
果 。 我 一 直 想 把 我 们 在 安全 协议 方面 的 研究 成 果 和 对 安全 协议 的 理解 写成 一 本 专车 与 同行 
分 享 ,以 便 更 多 的 学 者 受益 。 从 1999 年 开始 动手 写作 ,转眼 就 是 10 年 ,在 这 期 间 , 易 稿 数 
次 ,举办 过 多 次 安全 协议 研讨 会 ,与 数 名 专家 进行 过 交流 ,调研 过 包括 研究 .应 用 和 实践 等 在 
内 的 各 种 安全 需求 。 理 论 与 技术 在 不 断 发 展 ,应 用 和 实践 范围 在 不 断 扩 大 和 深入 ,人 类 对 安 
全 协议 的 认识 水 平 也 在 不 断 提高 ,在 这 种 背景 下 ,要 写 一 本 “好 ” 书 非常 困难 ,但 我 还 是 下 决 
心 推出 了 这 本 书 ,试图 系统 全 面 地 覆盖 安全 协议 的 核心 内 容 , 并 反映 我 所 领导 的 团队 在 这 一 
领域 的 部 分 前 沿 成 果 。 因 此 ,本 书 是 作者 及 其 团队 长 期 从 事 安全 协议 研究 和 实践 工作 的 方 
法 和 经 验 的 总 结 , 同 时 也 吸收 了 国内 、 外 现 有 相关 成 果 中 的 许多 精华 。 

本 书包 括 4 篇 16 章 , 第 1 篇 包括 2 章 内 容 , 简 要 介绍 了 密码 算法 的 分 类 和 一 些 典 型 密 
码 算法 ,以 及 安全 协议 的 分 类 、 系 统 模型 .安全 属性 .设计 准则 .安全 缺陷 分 类 和 分 析 方 法 等 。 
第 2 篇 包括 4 章 内 容 , 重 点 介绍 了 可 证 明 安 全 性 、 形 式 化 分 析 、 零 知识 证 明 安全 多 方 计算 等 
基础 理论 与 方法 。 第 3 篇 包括 6 章 内 容 , 重 点 介绍 了 秘密 共享 .数字 签名 .身份 识别 、 密 钥 交 
换 、 健 忘 传输 、 公 平 交换 等 基本 安全 协议 。 第 4 篇 包括 4 章 内 容 , 重 点 介绍 了 Kerberos 协 
议 、X. 509 协议 .IPSec HX, TLS/SSL BRL, A ELE. CA 协议 、 基 于 身份 的 PKI 协议、 可 


foreword 


信 计 算 平台 远程 证 明 协 议 等 应 用 安全 协议 。 

本 书 在 写作 过 程 中 ,在 一 些 内 容 的 讨论 和 素材 的 提供 方面 ,得 到 了 信息 安全 国家 重点 实 
验 室 相 关 科 研 、 教 学 人 员 和 博士 生 们 的 虎 力 相助 ,他 们 包括 研 继 武 教授 、 苹 锐 研 究 员 、 李 宏 达 
教授 、 张 振 峰 研究 员 、 徐 海 霞 副教授 、 周 展 飞 副教授 、 姚 刚 副教授 、 徐 静 副 研究 员 以 及 陈 伟 东 
研究 员 、 邓 敌 副 研究 员 、 庄 勇 博士 .路 晓 明 博士 、 秦 宇 博士 、 陈 晓 峰 博士 等 ,在 此 一 并 对 他 们 表 
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本 书 在 写作 过 程 中 ,得 到 了 国家 973 计划 项 目 (No. 2007CB311202) 和 国家 自然 科学 基 
金 项 目 (No. 60673083) 的 支持 ,也 得 到 了 清华 大 学 出 版 社 张 民 老师 的 大 力 支持 ,在 此 表示 衷 
心 的 感谢 。 
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第 1 篇 A 论 


计算 机 网 络 正 以 惊人 的 速度 向 各 个 领域 渗透 ,成 为 各 领域 发 展 的 新 源泉 ,各 种 现实 世界 
里 的 组 织 与 系统 正在 走 进 网 络 这 个 虚拟 的 世界 里 ,使 网 络 世界 变 得 越 来 越 精 彩 。 与 此 同时 ， 
安全 问题 也 变 得 越 来 越 突出 ,也 越 来 越 复杂 ,而 安全 协议 是 解决 网 络 安全 问题 最 有 效 的 手段 
之 一 , 它 可 以 有 效 地 解决 源 认证 和 目标 认证 、 消 息 的 完整 性 、 匿 名 通信 、 抗 拒绝 服务 、 抗 抵赖 、 
授权 等 一 些 重要 的 安全 问题 。 

在 深入 讨论 安全 协议 之 前 ,首先 必须 澄清 以 下 两 个 基本 问题 。 

(1) 安全 协议 和 密码 算法 的 基本 含义 。 

(2) 安全 协议 和 密码 算法 的 基本 差别 与 联系 。 

为 了 理解 安全 协议 这 一 概念 ,首先 要 了 解 什 么 是 协议 ? 所 谓 协议 ,就 是 两 个 或 两 个 以 上 
的 参与 者 采取 一 系列 步骤 以 完成 某 项 特定 的 任务 。 这 个 定义 包含 以 下 3 EX. 

QD 协议 至 少 需要 两 个 参与 者 。 一 个 人 可 以 通过 执行 一 系列 的 步骤 来 完成 一 项 任务 ,但 
它 不 构成 协议 。 

Q 在 参与 者 之 间 呈 现 为 消息 处 理 和 消息 交换 交替 进 行 的 一 系列 步骤 。 

@ 通过 执行 协议 必须 能 够 完成 某 项 任务 或 达成 某 种 共识 。 

协议 和 算法 这 两 个 概念 不 尽 相 同 。 算 法 应 用 于 协议 中 消息 处 理 的 环节 。 对 不 同 的 消息 
处 理 方式 则 要 求 用 不 同 的 算法 ,而 对 算法 的 具体 化 则 可 定义 出 不 同 的 协议 类 型 。 因 此 ,可 以 
简单 地 说 ,安全 协议 就 是 在 消息 处 理 环 节 采 用 了 若干 密码 算法 的 协议 。 具 体 而 言 ,密码 算法 
为 传递 的 消息 提供 高 强度 的 加 、 解 密 操作 和 其 他 辅助 操作 (如 杂凑 ) 等 ,而 安全 协议 是 在 这 些 
密码 算法 的 基础 上 为 各 种 安全 性 需求 提供 实现 方案 。 

安全 协议 是 建立 在 密码 算法 基础 上 的 一 种 高 互通 协议 , 它 运行 在 计算 机 网 络 或 分 布 式 
系统 中 ,为 安全 需求 的 各 方 提供 一 系列 步骤 ,借助 于 密码 算法 来 达到 密 钥 分 发 身份 认证 以 
及 安全 地 实现 网 络 通信 或 电子 交易 等 目的 。 

总 之 ,密码 算法 是 安全 协议 的 基础 和 核心 ,安全 协议 是 密码 算法 应 用 的 纽带 和 桥梁 。 

值得 注意 的 是 ,人 们 (尤其 是 密码 学 研究 者 ) 通 常 将 安全 协议 也 称 为 密码 协议 ,但 实际 上 
也 有 些 安全 协议 如 实现 抗拒 绝 服务 攻击 的 安全 协议 并 没有 采用 密码 算法 来 实现 ,而 且 安 全 
协议 的 研究 中 也 包括 各 种 通信 协议 的 安全 性 研究 ,采用 的 研究 工具 也 主要 是 计算 机 科学 理 
论 与 方法 ,因此 ,虽然 本 书 中 介绍 的 主要 是 基于 密码 算法 的 安全 协议 及 相关 研究 工作 ,但 作 
者 还 是 认为 采用 安全 协议 这 一 术语 更 好 ,这 也 是 安全 协议 研究 工作 者 的 基本 共识 。 

本 篇 将 用 两 章 的 篇 幅 简要 概述 密码 算法 和 安全 协议 。 第 1 章 简要 介绍 密码 算法 的 分 类 
和 一 些 典 型 密码 算法 。 第 2 章 简要 介绍 安全 协议 的 分 类 、 系 统 模型 、 安 全 属性 、 设 计 准 则 、 安 
全 缺陷 分 类 和 分 析 方法 概述 等 。 


第 1 章 RARER 


密码 算法 是 解决 网 络 和 信息 系统 安全 的 核心 技术 ,也 是 构建 安全 协议 的 重要 基础 。 本 
章 主 要 介绍 密码 算法 的 分 类 和 一 些 典 型 密码 算法 ,包括 对 称 密码 算法 、 公 和 钥 密 码 算法 、Hash 
函数 与 MAC 算法 等 。 


1.1 密码 算法 的 分 类 


密码 算法 是 密码 学 中 最 为 核心 的 一 个 概念 。 一 个 密码 算法 通常 被 定义 为 一 对 数据 变 
换 。 其 中 一 个 变换 应 用 于 数据 起 源 项 , 称 为 明文 ,所 产生 的 对 应 数据 项 称 为 密 文 。 而 另 一 个 
变换 应 用 于 密 文 ,恢复 出 明文 。 这 两 个 变换 分 别称 为 加 密 变换 和 解密 变换 。 习 惯 上 ,也 使 用 
加 密 和 解密 这 两 个 术语 。 

加 密 变换 的 输入 是 明文 数据 和 一 个 称 为 加 密 密 钥 的 独立 数据 。 类 似 地 ,解密 变换 的 输 
和 人 是 密 文 数据 和 一 个 称 为 解密 密 钥 的 独立 数据 。 

显然 ,密码 算法 可 用 来 提供 机 密 性 。 明 文 是 没有 受到 保护 的 数据 。 密 文 可 以 在 一 个 不 
信任 的 环境 中 传送 ,因为 如 果 密 码 算法 是 安全 的 ,那么 任何 不 知道 解密 密 钥 的 人 都 不 可 能 从 
密 文 推断 出 明文 。 除 此 之 外 ,密码 算法 也 有 其 他 用 处 ,如 可 用 于 安全 协议 的 设计 。 

密码 算法 主要 有 两 大 类 : 一 类 是 对 称 密码 算法 ,有 时 称 为 私 钥 密码 算法 或 秘密 密 钥 密 
码 算法 ,这 类 密码 算法 的 基本 特征 是 加 密 密 钥 和 解密 密 钥 相同 或 容易 相互 导出 ; 另 一 类 是 非 
对 称 密码 算法 ,有 时 称 为 公 钥 密码 算法 ,这 类 密码 算法 的 基本 特征 是 有 两 个 不 对 称 的 密 钥 而 
且 从 一 个 难以 推出 另 一 个 。 这 两 类 密码 算法 具有 不 同 的 特性 ,并 且 以 不 同 的 方法 来 提供 安 
全 服务 。 除 此 之 外 ,还 有 其 他 辅助 密码 算法 ,如 Hash 算法 (又 称 Hash 函数 ,或 杂凑 算法 / 函 
数 , 或 散 列 算法 /函数 ) 与 MAC 算法 等 。 


1.2 对称 密码 算法 


对 称 密码 算法 的 基本 特征 是 用 于 加 密 和 解密 的 密 钥 是 一 样 的 或 者 相对 容易 推出 ,如 


图 1. 1 所 示 。 
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图 1.1 对 称 密码 算法 模型 


一 个 对 称 密码 算法 的 工作 流程 如 下 : 假定 A 和 B 是 两 个 系统 ,在 它们 之 间 进 行 秘密 通 
彤 。 它 们 通过 某 种 方式 (物理 的 或 执行 某 种 协议 ) 获 得 一 个 共享 的 秘密 密 钥 ,该 密 钥 只 有 A 
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和 BB 知道 ,其 他 人 均 不 知道 。A 或 也 通过 使 用 该 密 钥 加 密 发 送 给 对 方 的 消息 ,只 有 对 方 可 
以 解密 消息 ,而 其 他 人 均 无 法 解密 消息 。 

对 称 密码 算法 又 分 为 两 种 , 即 序列 密码 算法 (又 称 流 密码 算法 ) 和 分 组 密码 算法 。 习 惯 
上 ,也 称 为 序列 ( 流 ) 密 码 和 分 组 密码 。 在 序列 密码 中 ,将 明文 消息 按 字 符 逐 位 地 进行 加 密 ; 
在 分 组 密码 中 ,将 明文 消息 按 固 定 长 度 分 组 (每 组 含有 多 个 字符 ), 逐 组 地 进行 加 密 。 


1.2.34 DES 


在 Shannon( 香 农 ) 提 出 的 密码 设计 原则 下 ,20 世纪 60— 70 年 代 间 ,许多 研究 人 员 和 机 
构 都 设计 了 新 的 对 称 密码 ,其 中 ,由 Feistel 领导 的 IBM 公司 设计 小 组 设计 了 LUCIFFER 
密码 。 在 1973 一 1974 年 间 , 美 国 国家 标准 局 (NBS) ,后 来 改名 为 美国 国家 标准 技术 研究 所 
(NIST) ,为 了 用 于 保护 美国 联邦 机 构 的 敏感 信息 ,发 布 了 征集 加 密 算 法 的 通告 。 从 提交 的 
建议 中 ,选择 了 由 IBM 公司 提交 的 LUCIFFER 算法 的 改进 版 本 。1975 年 ,在 受 控 的 条 件 
下 对 此 算法 作 了 一 些 公开 的 评述 。1977 年 采纳 为 联邦 信息 处 理 标 准 FIPSPUBA6 , 取 名 为 
数据 加 密 标 准 (简称 DES) 。 该 标准 很 快 被 用 于 政府 的 机 密 性 目的 和 金融 工业 界 的 完整 性 
目的 ,并 且 自 从 那 时 起 ,被 广泛 应 用 于 各 个 领域 。 

DES H 3c 4} EF 85 3C 4 AY HK HE y L = 64b FOR R= 16, 8: 9) EHE |k | — 64b, $e 9850] 
KH |I; | 748b. i—1,2,--.R. BUT RAMS Sb 校 验 位 ,因此 密 钥 的 有 效 位 只 有 56b. 这 就 
导致 自从 DES 公布 之 日 起 人 们 就 担心 其 密 钥 太 短 而 易 受 穷 搜索 攻击 ,后 来 这 一 担心 便 被 证 
实 。 当 然 ,DES 的 密 钥 长 度 可 通过 使 用 多 重 加 密 来 增加 。 三 重 DES 的 工作 过 程 如 下 : 首先 
使 用 密 钥 a 对 64b 的 分 组 加 密 , 然 后 使 用 密 钥 b 对 其 加 密 结果 解密 ,最 后 再 使 用 密 钥 加 
密 。 通 常 取 a 一 c。 

下 面 将 详细 描述 DES. BE m 是 一 个 给 定 的 64b 明文 ,c 是 64b 的 输出 密 文 ,k 是 密 钥 。 

1. BAAR 

每 一 轮 都 使 用 一 个 不 同 的 ,从 初始 密 钥 (又 称 种子 密 钥 ) 大 导出 的 48b WH ki k 是 一 
个 长 度 为 64b 的 串 ,第 8b,16b,… ,64b 为 校 验 位 , 共 8 个 ,这 主要 是 为 了 检 错 。 在 位 置 8b， 
16b,…',64b 是 按 下 述 方法 给 出 的 : 使 得 1B(8b) 含 有 奇数 个 1。 因 此 在 每 一 个 字 节 中 的 一 
个 错误 都 能 被 检测 出 。 在 密 钥 方案 的 计算 中 ,不 考虑 校 验 位 。 

密 钥 方案 的 计算 过 程 如 下 : 对 给 定 的 64b 的 大 ,删除 8 个 校 验 位 ,将 剩 下 的 用 PC, 作 置 
换 得 到 56b 的 CoD. ,其 中 C; A D; 分 别 为 前 、 后 28b。 对 1<i<16 进行 计算 BI 

C; = LS(Ci), D; —LS(D;4), k; = PG (CD) 
其 中 ,LS; 表示 按 轮 数 不 同 左 循环 移 位 1 位 或 2 位 ,第 1、2、9、16 轮 移动 1 位 ,其 他 轮 移 动 2 
位 ;PC: 是 另 一 个 置换 。 

置换 PC, 和 置换 PC, 如 图 1. 2 HA. 

2. 加 密 过 程 

CD 计算 mo 三 IPCm) 王 LoR,, 即 通过 置换 IP 将 一 个 明文 分 组 m 二 Gm «m; ，… mi) BERR 
为 m, ,这 里 工 A Ro 分 别 表示 m 的 前 ( 左 )、 后 ( 右 ) 半 部 。 

(2) 进行 16 轮 和 迭代 处 理 ( 图 1. 3) : 

三 
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PC, PC, 
57 49 41 33 25 "7 9 14 17 H 24 | 5 
1 58 50 42 34 26 18 3 28 15 6 21 10 
10 2 59 51 43 35 27 23 19 2 4 26 8 
19 HH 3 60 52 4 36 16 T 27 20 13 2 
63 55 47 39 3 23 15 4l 52 231 37 47 55 
7 62 54 46 38 30 22 30 40 51 45 33 48 
14 6 61 53 45 3 29 44 49 39 56 34 53 
21 1|3 5 28 20 12 4 46 42 30 36 29 32 
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(a) 一 轮 加 密 (b) Feistel Ei ft f 
图 1.3 DES 加 密 迭 代 过 程 (E 将 32b 输入 扩展 为 48b) 


以 上 流程 被 称 为 Feistel 结构 ,其 中 四 表示 异 或 ,Feistel 函数 f JK k: GR: 的 扩展 异 或 , 接 
着 用 8 个 6b 输入 、4b 输 出 的 S 盒 和 一 个 置换 P 处 理 异 或 后 的 数据 ,其 中 ,S 盒 是 实现 非 线 
性 映射 的 常用 手段 ,其 输出 一 般 根据 输入 查 表 确定 。 为 使 加 密 算法 也 可 用 于 解密 ,在 第 16 
轮 和 迭代 后 ,前 、 后 半 部 未 交换 ,因此 输出 实际 为 RieLis 而 不 是 Lis Ris 。 

(3) 计算 c— IP! Li) HP IP! AR IP AS. 

初始 置换 IP 和 其 逆 置 换 IP 如 图 1.4 所 示 。 


IP I^ 
58 50 42 34 26 18 10 2 40 8 48 16 56 24 64 32 
60 52 44 36 28 20 12 4 39 7 47 15 55 23 63 31 
62 54 46 38 30 22 M 6 38 6 46 14 54 22 62 30 
64 56 48 40 32 24 16 8 37 5 45 13 53 21 6l 29 
57 49 4| 33 25 17 9 | 36 4 44 12 52 20 60 28 
59 51 43 35 27 1 1 3 35 3 43 n 51 1! 5 27 
61 53 45 37 29 21 13 5 34 2 42 10 50 18 58 26 
63 55 47 39 31 3 15 7 3 1 41 9 49 17 $5 25 


图 1.4 初始 置换 IP 和 其 逆 置 换 IP 


这 意味 着 m 的 第 58b 是 IP(m) 的 第 1b.m 的 第 50b 是 卫 () 的 第 2b 等 。 初 始 置换 IP 
及 其 逆 置 换 IP 没有 密码 意义 ,因为 闷 与 卫 (z)[ 或 < 与 IJP (c)] 的 一 一 对 应 关系 是 已 知 
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的 。 它 们 的 作用 在 于 打 乱 原来 输入 m 的 ASCI 码 字 划 分 的 关系 ,并 将 原来 明文 的 检验 位 


ms my, i ma BEM IP 的 输出 的 一 个 字 节 。 
扩展 函数 EE 1. 5 所 示 。 


置换 P 如 图 1.6 所 示 。 


3. 解密 过 程 


P 

16 7 20 21 

比特 选择 表 E 29 12 28 17 

32 1 2 3 4 5 1 15 23 26 

4 j B 1 $ id 5 18 31 10 
8 9 10 11 12 13 

12 13 14 15 16 17 2 8 24 14 

16 17 18 19 20 21 32 27 3 9 

2 2. 

20 21 22 23 24 25 " " 30 ó 
24 25 26 27 28 29 

28 29 30 31 a 1 2 n 4 25 

图 1.5 扩展 函数 E 图 1.6 BRP 


加 密 过 程 中 的 (3) 和 (1) 的 道 是 相应 的 逆 置 换 ;在 Feistel 结构 下 f 无 须 可 道 ,Feistel 结 
构 保 证 了 (2) 中 各 轮 处 理 的 可 逆 , 即 


Ria 


8^4 S nde 1.1 ros. 


=L, 


Li = R; Q f(Li,ki) 
请 读者 验证 以 上 加 密 也 能 用 于 解密 。 


表 1.1 8S 


a<i<16) 


3|13|8 | 10] 1 15 | 4 2-13 | 8. T Vaz <0 5 | 14] 9 
0} 10} 0 9 | 14 3715] 5 t |a43[|12|7 |n] 4 2 8 
| 13-7 0 9 4 6 |10| 2 8 5|14|12/|11|15 | 1 
2|13| 6 4 9 1$5|3|0|11| 1 2 |12| 5 |10|14| 7 m 
3 1 | 10 | 13 | 0 9 8 7 4|[15|14| 3 | 11] 5 2 |12 
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续 表 
列 
行 0 1 2 3 4 5 6 7 8 9 |10 |11 |12 |13 | 14 | 15 
OQ) @ ]|13|14| 3 0 6 9g; | 30.| 1 2 8 5 |11|12]| 4 | 15 
1|13|8]|11| 5 6 |15| 0 3 4 7 2/12) 1 10 |14| 9 
2 |10] 6 9 0 |12|11|7|13|15|1 3]|14|5 2 8 4 * 
3|3|15| 0 6 |10| 1|13| 8 9 4 5. L3 |32: 2 2 |14 
0|2]|12|4 1 7 |10|11| 6 8 5 3]|15|13|0 |14| 9 
1[|14|121|2,|12|4 X |33| | 5 0 |15 | 10| 3 9 8 6 
2|4 2 I |1 |10 13/7 8 |15|/9|12|5 6 3 0 |14 > 
3/11] 8 | 12) 7 1|14|2|13|6 | 15) 0 9 | 10] 4 5 3 
0|12 | 1 |10|15| 9 2 6 8 0 | 13) 3 4 |14| 7 5|11 
1|10|15| 4 2 7112) 9 5 6 1 13] 14] 0 | 11] 3 8 " 
6 


2) 9 | 14) 15] 5 2 8 |12| 3 7 0 4 |10|1 | 13] 11] 6 


3 | 4 3 2|12|9 5 |15 10 |11|14 | 1 7 6 0 8 |13 


5 
S, 
6 


S, 
2 | Y | aD | 堆 1 9|12|14|2 0 6 |10 | 13 | 15 | 3 5 8 


3|2 1 | | 7 4|10,8 |13|15|12]| 9 0 3 5 6 | 11 


给 定 一 个 长 度 为 6b 串 ,比方 说 B; — bi bobs by bib. ,可 按 下 列 办 法 计算 S B): 用 两 个 位 
bibs 对 应 的 整数 ~(0 委 r 委 3) 来 确定 S; 的 行 (所 谓 两 个 位 5.5 对 应 的 整数 ~ 意 指 的 二 进 制 
表示 为 bibs ,以 下 的 含义 类 同 ) ,用 4 位 bob. bb. 对 应 的 整数 cCONc<15) RM S; 的 列 ， 
S; (Bi) 的 取 值 就 是 S; 的 第 7 行 第 c 列 的 整数 所 对 应 的 二 进 制 表示 。 


1.2.2 AES 


1997 Æ 4 H 15 日 ,美国 国家 标准 技术 研究 所 CNIST) 发 起 征集 高 级 加 密 标 准 ( 简 称 
AES) 的 活动 ,并 专门 成 立 了 AES 工作 组 ,目的 是 为 了 确定 一 个 非 密 级 的 、 全 球 免费 使 用 的 
数据 加 密 标准 。1997 年 9 月 12 日 ,在 联邦 登记 处 (FR) 公 布 了 征集 AES 候选 算法 的 通告 。 
AES 的 基本 要 求 是 比 三 重 DES 快 而 且 至 少 与 三 重 DES 一 样 安 全 ,分 组 长 度 为 128b, 密 钥 
长 度 为 128/192/256b。1998 年 8 月 20 日 ,NIST 召开 了 第 一 次 AES 候选 会 议 ,并 公布 了 
15 个 候选 算法 。1999 年 3 H 22 日 ,NIST 举行 了 第 二 次 AES 候选 会 议 , 公 布 了 15 个 候选 
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算法 的 讨论 结果 ,并 从 中 选 出 了 5 个 候选 者 。2000 年 4 月 25 日 ,NIST 举行 了 第 三 次 AES 
候选 会 议 ,对 这 5 个 候选 算法 又 进行 了 讨论 。NIST 于 2000 年 10 月 2 日 公布 了 最 终 候 选 结 
果 , 将 Rijndael 算法 作为 候选 算法 。2001 年 11 月 26 日 ,NIST 将 Rijndael 算 法 作为 联邦 信 
息 处 理 标准 FIPSPUB197 对 外 公布 。Rijndael 算法 的 原形 是 Square 算法 , 它 的 设计 策略 是 
宽 轨 迹 策略 (Wide Trail Strategy) ,这 种 策略 是 针对 差分 分 析 和 线性 分 析 提 出 的 。Rijndael 
是 一 个 迭代 分 组 密码 ,其 分 组 长 度 和 密 钥 长 度 都 是 可 变 的 ,但 是 为 了 满足 AES 的 要 求 ,限定 
分 组 长 度 为 128b, 密 钥 长 度 为 128/192/256b, 对 应 的 轮 数 ~ 分别 为 10/12/14。 

下 面 就 来 详细 描述 AES。 设 X 是 一 个 给 定 的 128b 明文 ,了 是 128b 的 输出 密 文 ,K 是 
密 钥 。 


l BAAR 

在 加 密 过 程 中 ,需要 r 十 1 个 子 密 钥 ,需要 构 作 4(r 十 1) 个 32b 字 。 当 种 子 密 钥 为 128b 
和 192b 时 , 构 作 4(r 十 1) 个 32b 字 的 程序 是 一 样 的 ,但 当 种 子 密 钥 为 256b 时 ,用 另 一 个 不 
同 的 程序 构 作 4(r 十 1) 个 32b 字 。 密 钥 方案 由 密 钥 扩展 和 轮 密 钥 选择 两 部 分 组 成 。 

D 密 钥 扩展 过 程 

扩展 密 钥 是 一 个 32b 字 的 数组 , 且 记 为 W[4(r 十 1)], 密 钥 包 含 在 开始 的 Ne 个 32b F 
中 ,其 他 字 由 它 前 面 的 字 经 过 处 理 后 得 到 。 

当 N,—4,r—10 È N,—6,r—12 时 , 密 钥 扩展 过 程 如 下 。 


KeyExpansion (CipherKey,W) 

{ 
For (i=0;i<N,;i++) W[i]=CipherKey [i]; 
For (J=Nk 7 jXN. (z*1) ; jt - N.) 
{ 
W[3]-W[j- N.]^S (Rot1 (W[j-1]) ) ^FRC[3/N.] ; 
For(i-1;i«N,&&i*j«4(r*1);i**) 

W[i*j]2-W[i*j-N,]^W[i*j-1]; 

) 

} 


M ON,—8.r—14 时, 密 钥 扩展 过 程 如 下 。 


KeyExpansion (CipherKey,W) 
{ 

For(i-0;i€«N,;it*) W[i]-CipherKey[i]; 

For(jzN,;j€«N. (rt1);j*-N.) 

{ 
W[j]-W[j-N.]^S (Rot1 (W[3-1]) ) ^FRC[3/N.] : 
For(i-1;i«4;i**) 

W[i*tj]-W[i*j-N.]^W[i*j-1]; 

W[j*4]-W[j* 4-N. J^S (Rot1 (W[3*31]) ; 
For(i-1;i«N,&& i*j«4(r*1);i**) 

W[i*j]-W[i*j-N,]^W[i*j-1]; 
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其 中 ,Rotl(W) 表 示 对 一 个 字 W 中 的 字 节 进行 循环 置换 运算 。 例 如 , 若 输 入 的 一 个 字 的 字 
节 为 (a,5,c,qd), 则 产生 的 输出 为 (5,c,d,a)。RC[L ] 是 一 个 由 8b 轮 常数 组 成 的 数列 ,周期 
为 8, 其 十 六 进 制 表 示 为 : RC[1]—01, RC[2]—02, RC[3]—04, RC[4]— 08, RC[ 5]— 10, 
RC[6]—20,RC[7]—40, RC[8]—80, 38H 3E E XO; RC[i 十 1] 二 RC[i]&1, RC[i]«1 # 
示 将 RCLi RAB fh. “RMR Sis E. 

2) 轮 密 钥 选 择 

轮 密 钥 KK; 是 由 密 钥 缓冲 区 W[ 4718] WLAG-- D ]ROSEZR UL. 

2. 加 密 过 程 

Y 王 Or TomeOrk *II* T-T'*Ox, ,» 77 *II T3 PO, CX) 

其 中 “。” 表 示 置 换 的 复合 ,Ki ,K,，,… Koi rtl AFRA K 派生 的 密 钥 方案 。 

各 个 变换 如 下 : 

Ox, :FJ HFP 是 一 个 置换 ,对 XE Fi" ,Ok (X) 一 XGOK,。 

T:FY* PFP 是 一 个 置换 ,X 是 了 的 输入 ,首先 ,把 X 分 成 16 个 字 节 , 即 

X= OK ge XasXuoXasXusXusX ao E E Mess Xs XXn Xu 
anY-TUO-QOUwuv XioXarXasXunsXiovXisXusXusXnsXunsXuo XnoXusXas 
Xy), 

II; F^ pe Fi? 是 一 个 置换 ,X 3E II 的 输入 ,首先 ,把 XX 分 成 16 个 字 节 , 即 

Xm Xo52005 X6 taa) Xa OU) Gi XO O. ERE, O. CA, XC Xo oy 
Sai Y 2nOO = (o YasYasYasYisYnsYusYinsYwiYaiYxc YussYusYus Yas Vad 
其 中 


oi 2 03 01 017 [Xo 
Yu| |01 02 03 Ol||Xs 
Yx| |01 01 02 03||Xs 
Y,] (03 01 01 02.|X, 
和 矩阵 元 素 是 十 六 进 制 数值 ,如 02 表示 比特 串 00000010。 

D:F FY 是 一 个 置换 , 它 由 16 个 FP) EW SAHER SSL F, PF 是 有 限 域 Fs 
[使 用 不 可 约 多 项 式 m Gc) = 28 十 zt 十 xz 十 z 十 1 来 构 作 Fes ,m(z) 对 应 的 二 进 制 数 表示 为 
100011011, 对 应 的 十 六 进 制 数 表示 为 “11B”] 上 的 乘法 逆 , 即 FOOD — X^" (约定 F(0) 一 0)， 
工 (X) 一 AX 十 5。 
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3. 解密 过 程 
解密 过 程 是 加 密 过 程 的 逆 , 这 里 不 再 缆 述 。 


1.2.3 分 组 密码 工作 模式 


所 谓 分 组 密码 工作 模式 是 指 利 用 一 个 基本 的 分 组 密码 构造 出 一 个 密码 算法 。 常 用 的 工 
作 模 式 主要 有 以 下 4 种 。 

(1) 电码 本 (ECB) 模 式 , 即 直接 使 用 基本 的 分 组 密码 的 模式 。 给 定 明文 的 一 个 比特 串 
T= 2220+ MEA IR TEE bb 长 的 分 组 c; o 是 分 组 密码 的 分 组 长 度 ,对 每 一 个 zx; 直接 使 用 
算法 ,产生 密 文 分 组 cio H c 一 es(zi) ,其 中 ex 是 加 密 变 换 。 完 整 的 密 文 “是 按 次 序 将 c， 
连接 起 来 , 即 < 一 ctcs …。 其 缺点 是 : 在 给 定 密 钥 的 情况 下 ,相同 的 明文 总 是 产生 相同 的 
密 文 。 

(2) 密码 分 组 链 (CBC) 模 式 。 给 定 明文 的 一 个 比特 串 z 一 zizz…zi 是 bb 分组。 第 一 
个 分 组 zz 首先 与 一 个 bb 的 初始 向 量 TV 作 蜡 或 运算 ;然后 对 所 得 的 结果 应 用 加 密 变换 ,得 
到 第 一 个 密 文 分 组 c, 。 以 后 的 明文 分 组 z; 与 前 一 个 密 文 分 组 c;-1 作 异 或 运算 ,对 结果 再 利 
用 加 密 变换 。 可 按 下 述 方式 表示 : 


c, = eG @IV) 
cz = er Qoa) 
c; = ex Gri cia) 
在 该 工作 模式 中 ,初始 向 量 用 于 保证 由 最 前 面 的 几 个 字 节 相似 的 明文 产生 的 密 文 是 不 
同 的 。 
(3) 密码 反馈 (CFB) 模 式 。 先 将 明文 流 分 成 若干 个 kb AYE FE ,1k<5, 其 中 65 表示 所 
用 的 分 组 密码 的 分 组 长 度 。 每 个 字符 所 对 应 的 密 文 可 通过 该 字符 和 一 个 密 钥 字符 相 异 或 获 
得 ,该 密 钥 字符 通过 加 密 前 一 个 密 文 并 进行 截取 来 获得 。 在 处 理 过 程 的 开始 阶段 ,将 一 个 n 
比特 的 初始 向 量 IV 放 在 存储 密 文 的 地 方 。 对 kb 的 情况 ,有 关 步 又 可 描述 如 下 : 算法 作 
用 于 一 个 初始 化 向 量 TV, 产生 一 个 输出 zi ;接着 将 n 和 zi 作 异 或 运算 产生 第 一 个 密 文 分 
组 cl 。 以 后 的 密 文 组 c; 是 对 前 一 个 密 文 组 使 用 算法 ,将 输出 和 对 应 的 明文 zx; 作 异 或 运算 ， 
Bl zı =e; IV) cim Q zz =e; (C1) 062 ® z250 szi Hen (ci) A =x: Ozio 
(4) 输出 反馈 (OFB) 模 式 。 该 模式 与 CFB 模式 相似 ,但 它 不 对 密 文 进行 链接 ,而 是 通 
过 和 迭代 加 密 初始 向 量 IV 来 产生 密 钥 字符 串 。 对 kb 的 情况 ,有 关 步 又 可 描述 如 下 : zi 二 
ex IV) c an @ zt zien ei) A 5r Oz. 
工作 模式 中 所 使 用 的 初始 向 量 IV 是 一 个 随机 向 量 , 但 IV 未 必需 要 保密 ,IV 的 公开 可 
使 人 们 对 消息 的 起 始 部 分 进行 攻击 。 因 此 ,TIV 通常 要 以 加 密 的 形式 传送 ,而且 要 经 常 变更 。 


1.2.4 RC4 


RC4 是 Rivest 于 1987 年 为 RSA 数据 安全 公司 开发 的 一 个 密 钥 长 度 可 变 的 序列 密码 。 
在 开始 的 7 年 中 它 有 专利 ,算法 的 细节 只 有 在 签署 一 个 保密 协议 后 才能 得 到 。1994 年 9 
月 ,有 人 把 它 的 源 代码 匿名 张贴 到 Cypherpunks 邮件 列表 中 ,从 而 把 这 个 算法 泄露 了 出 去 。 
RE RSA 公司 宣称 即使 公开 代码 它 仍然 是 商业 秘密 ,但 已 为 时 过 晚 。 
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RC4 以 OFB 模式 工作 , 密 钥 序列 与 明文 相互 独立 。 它 有 一 个 8X8 的 S 盒 : ya， 
5055 ,该 S 盒 是 数字 0 一 255 的 一 个 置换 ,并 且 这 个 置换 是 一 个 长 度 可 变 的 密 钥 的 函数 。 它 有 
两 个 计数 器 : i 和 j ,初始 值 均 为 0。 
产生 一 个 随机 字 节 的 步骤 如 下 : 
1 一 (十 1) mod 256 
j7 Gs) mod 256 
交换 s: Ml s; 


t=(s;+s;) mod 256 
k=s, 
字 节 与 明文 异 或 产生 密 文 或 者 与 密 文 异 或 产生 明文 。 加 密 速度 很 快 ,大 约 比 DES 
快 10 倍 。 
初始 化 S 盒 的 步骤 如 下 : 首先 进行 填充 ,so 一 0,s 二 1,… ,szss 二 255; 其 次 用 密 钥 填 充 另 
一 个 256B 的 数组 ,以 自然 的 方式 重复 使 用 密 钥 来 填充 整个 数组 : ses enn kzss ;最 后 ,将 
指针 j 设 为 0, 对 i 二 0~255 完成 以 下 操作 : 
j7 Gs; k;) mod 256 
交换 s: 和 s;。 


1.3 公 钥 密码 算法 


公 钥 密码 算法 是 由 Diffie 和 Hellman 于 1976 年 首次 提出 的 一 种 密码 技术 。 与 对 称 密 
码 算法 相 比 , 公 钥 密码 算法 有 两 个 不 同 的 密 钥 , 它 可 以 将 加 密 功 能 和 解密 功能 分 开 。 一 个 密 
钥 称 作 私 钥 , 像 在 对 称 密码 算法 中 一 样 ,该 密 钥 被 秘密 保存 。 男 一 个 密 钥 称 为 公 钥 ,不 需要 
保密 。 公 钥 密码 算法 必须 具有 以 下 特性 : 给 定 公 钥 , 而 要 确定 出 私 钥 在 计算 上 是 不 可 行 的 。 
公 钥 密码 算法 有 两 种 基本 的 模型 : 一 种 是 加 密 模型 ; 另 一 种 是 认证 模型 。 参 见 图 1.7. 


BAA B 的 私 钥 
Wix —-| ane | x em yx 
(a) 加 密 模型 
A 的 私 铀 A 的 公 铀 
ax— ane | 8 Beg x 
O 认证 模型 


图 1.7 公 钥 密码 算法 模型 


在 加 密 模 型 中 ,假定 存在 一 个 包含 各 通信 方 的 公 钥 的 公开 目录 (类 似 于 传统 的 电话 号 码 
HE) ,那么 任何 一 方 都 可 以 使 用 这 些 密 钥 向 另 一 方 发 送 机 密 信息 。 其 具体 办 法 是 发 送 者 查 出 


d 
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接收 者 的 公 钥 并 且 使 用 该 公 钥 加 密 消 息 。 只 有 拥有 相应 的 私 钥 的 接收 者 才能 解读 消息 。 用 
于 加 密 模型 的 算法 ,通常 称 之 为 公 钥 加 密 算 法 。 

在 认证 模型 中 ,将 公 钥 用 作 解 密 密 钥 ,任何 人 均 可 以 从 目录 中 获得 解密 密 钥 , 从 而 可 解 
读 消 息 。 其 具体 办 法 是 接收 者 查 出 发 送 者 的 公 钥 并 且 使 用 该 公 钥 解 密 消 息 。 只 有 拥有 相应 
的 私 钥 的 人 才能 产生 该 消息 。 可 见 , 公 钥 密 码 算法 可 用 于 数据 起 源 的 认证 ,并 且 可 确保 信息 
的 完整 性 。 

如 果 一 个 公 钥 密码 算法 可 用 于 这 两 种 模型 , 则 称 该 算法 为 可 逆 公 钥 密码 算法 ;否则 , 称 
为 不 可 逆 公 钥 密 码 算法 。 

对 算法 设计 者 来 说 , 公 钥 密码 算法 的 设计 比 对 称 密码 算法 的 设计 更 具 挑 战 性 ,因为 公开 
的 密 钥 为 攻击 算法 提供 了 一 定 的 信息 。 目 前 所 使 用 的 公 钥 密码 算法 的 安全 性 基础 主要 是 数 
学 中 的 难 解 问题 。 最 流行 的 有 两 大 类 : 一 类 是 基于 大 整数 因子 分 解 问题 的 ,如 RSA 算法 ; 
另 一 类 是 基于 离散 对 数 问题 的 ,如 ElGamal 算法 、 椭 圆 曲 线 密码 (ECC) 算 法 。 


1.3.1 RSA 密码 算法 


RSA 密码 算法 是 一 个 可 逆 的 公 钥 密码 算法 ,以 其 发 明 者 Rivest Shamir 和 Adleman 的 
首 字母 来 命名 。 该 算法 利用 了 以 下 基本 事实 : 寻找 大 素数 是 相对 容易 的 ,而 分 解 两 个 大 素 


数 的 乘积 在 计算 上 是 不 可 行 的 。 

RSA 密码 算法 的 密 钥 对 的 产生 过 程 如 下 : 随机 产生 两 个 大 素数 p 和 9g, 计算 n= pa 
Fn, 而 保密 p、gq。 随 机 选取 一 个 数 ese 是 小 于 p(z) =(p—-1)(q-1), AS 
p(n) 互 素 的 正 整 数 。 利 用 驾 转 相 除法 (也 称 欧 氏 算法 ), 可 以 找到 整数 d 和 ,使 得 


ed -- rg(n) —1 

JR HI ed=1mod (n), 

数 nye Al d 分 别称 为 模 、 加 密 指数 和 解密 指数 。 数 n Ale 构成 公 钥 ,而 其 余 的 数 p、g、 
eG fI d 构成 了 私 钥 。 

可 用 数论 知识 证 明 , 指 数 d 和 e 具 有 以 下 特征 : 对 任何 消息 M, 有 (CM )* mod n=M mod n, 

1. RSA 加 密 算法 

COD 对 消息 M 的 加 密 过 程 为 :M' mod n. 

(2) 对 消息 M' 的 解密 过 程 为 : CM)! mod n. 

2. RSA 数字 签名 算法 

(1) 签名 生成 过 程 为 :签名 者 首先 计算 C= M^ mod n ,将 CM,C) 发 送 给 验证 者 。 

(2) 签名 验证 过 程 为 : 验证 者 验证 是 否 有 Cmod z* 一 M, 如 果 是 ,签名 通过 验证 。 

具体 应 用 时 ,为 了 提高 效率 或 破坏 算法 的 某 种 数学 结构 (如 同 态 结构 ) ,通常 使 用 Hash 
函数 先 杂 凑 要 签名 的 消息 ,然后 对 杂凑 值 进 行 签名 。 


1.3.2 ElGamal 型 算法 


1985 年 ,ElGamal 提出 了 一 类 公 钥 密码 算法 ,通常 称 之 为 EIGamal 型 算法 ,其 安全 性 基 
于 有 限 域 上 计算 离散 对 数 的 困难 性 。ElGamal 提出 了 加 密 模型 和 认证 模型 两 种 算法 。 认 证 
模型 是 美国 数字 签名 算法 (DSA) 的 基础 。 同 年 ,Koblitz 和 Miller 分 别 将 椭圆 曲线 用 于 公 铀 
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密码 算法 的 设计 。 用 椭圆 曲线 设计 的 密码 算法 称 之 为 椭圆 曲线 密码 算法 , 即 ECC 算法 。 他 
们 没有 发 明 使 用 椭圆 曲线 的 密码 算法 ,而 是 用 有 限 域 上 的 椭圆 曲线 实现 了 已 存在 的 公 钥 密 
码 算法 。 椭 圆 曲线 上 的 离散 对 数 的 计算 要 比 有 限 域 上 的 离散 对 数 的 计算 更 困难 ,能 设计 出 
密 钥 更 短 的 公 钥 密码 算法 。 因 此 ,成 为 当前 公 钥 密码 算法 研究 的 热点 。 


1. ElGamal 加 密 算法 

ElGamal 加 密 算法 是 非 确 定性 的 ,因为 密 文 依赖 于 明文 zx 和 加 密 者 选择 的 随机 值 。 
因此 ,同样 的 明文 可 被 加 密 成 许多 密 文 。 下 面 就 来 描述 Z; 上 的 ElGamal 加 密 算法 。 

Wt p 是 一 个 素数 并 且 离 散 对 数 问 题 在 Z, 上 是 计算 不 可 行 的 , 即 难处 理 的 ,a€ Z; 是 一 
个 本 原 元 (也 称 生成 元 ), 即 Z; = (a! ,O<i<p—2},P=a* mod p, 值 p.a FIL B 是 公开 的 ,a 是 
保密 的 。 

CD 对 消息 z 的 加 密 过 程 为 : 秘密 地 随机 选择 一 个 数 k € Z, i TEE yi =a‘ mod p, 
2 二 XB* mod p, 3C Cyi y. 

(2) 对 消息 zx 的 解密 过 程 为 : 对 给 定 的 mw y € Z; ,计算 r= y Y?! mod p. 


2. ElGamal 数字 签名 算法 

ElGamal 数字 签名 算法 也 是 非 确定 性 的 ,这 意味 着 对 任何 给 定 的 消息 有 许多 有 效 的 签 
名 ,并 且 验 证 者 能 够 将 它们 中 的 任何 一 个 作为 可 信 的 签名 而 被 接受 。 

设 p 是 一 个 使 得 在 Z, 上 的 离散 对 数 问 题 是 难处 理 的 素数 ,a€ Zp 是 一 个 本 原 元 ,B= 
amod p.f p.a AB 是 公开 的 ,a 是 保密 的 。 

COD 签名 生成 过 程 为 : 签名 者 秘密 地 随机 选择 一 个 数 KE Z- ,计算 y—a* mod p ,6 二 


(x—ay) k^! mod (Pp 一 1)。(7Y,60) 为 工 的 签名 。 
(2) 签名 验证 过 程 为 : 验证 者 验证 是 否 有 Py =a (mod f) ,如 果 是 ,签名 通过 验证 。 
3. DSA 


DSA 是 ElGamal 数字 签名 算法 的 一 种 变型 , 它 吸 收 了 Schnorr 数字 签名 算法 的 一 些 思 
想 。DSA 于 1991 年 8 月 提出 ,1994 年 5 月 19 日 发 表 在 Federal Register 上 ,成 为 美国 的 数 
字 签 名 标准 。 

设 p 是 长 Lb 的 素数 ,在 Z 上 的 离散 对 数 问题 是 难处 理 的 ,其 中 工 反 0Cmod 64) 且 
512<L<1024,q 是 能 被 p— 1 整除 的 160b 的 素数 。 设 a€EZ; Æ 1E p hY q CR Ba mod p 
(1<a<g 一 1), 值 pga 和 8 是 公开 的 ,是 保密 的 。 设 SHA-1 是 美国 的 杂凑 算法 标准 。 

CD 签名 生成 过 程 为 : 签名 者 秘密 地 随机 选择 一 个 数 ECOL eq 1), HH y= (a* 
mod p) mod g,6=(SHA-1(2) +ay) k^! mod g( 如 果 7 一 0 或 3 一 0, 应 该 另 选 一 个 随机 数 
kb), VOK x WES. 

(2) 签名 验证 过 程 为 : 验证 者 计算 e =SHA-1(£)8 mod q,e, — y^! mod gq, 验 证 是 否 
Ai (ap mod p) mod q 二 Y, 如 果 是 ,签名 通过 验证 。 

4. ECDSA 

椭圆 曲线 密码 体制 中 最 著名 的 是 ECDSA, 它 是 将 DSA 算法 移植 到 椭圆 曲线 上 得 到 的 。 
在 一 定 的 假设 下 可 证 明 其 安全 性 。ECDSA 算法 由 于 安全 性 高 .计算 量 小 、 处 理 速度 快 和 存 
储 空间 占用 小 等 优点 , 越 来 越 受 到 青睐 ,已 发 展 成 为 一 个 成 熟 的 标准 签名 算法 。 
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设 了 是 一 条 椭圆 曲线 T — (psa b. GN JO «d 是 一 个 随机 整数 , 且 满 足 1d N— 1. 
Q=dG. 这 里 d 就 是 私 钥 ,Q 就 是 公 钥 。 

ECDSA 签名 过 程 如 下 。 

CD 选择 一 个 随机 整数 ,满足 1<k<N 一 1。 

(2) 计算 KG 一 (zi,yi) ,并 把 zi 转换 成 整数 zi 。 

(3) 计算 r=2z, mod N ,如 果 r = 二 0, 返 回 第 (1) 步 重新 开始 。 

(4) 计算 k^! mod N., 

(5) 计算 SHA-1(M) ,并 把 位 串 转 换 为 整数 e。 

(6) 计算 s— k^! (Ce 十 dr)mod N, 如 果 s = 二 0, 返 回 第 (1) 步 重新 开始 。 

C) 签名 结果 就 是 (r,s) 。 

ECDSA 签名 验证 过 程 如 下 。 

CD 验证 (r,s) 都 在 区 间 [1,N 一 1 中 。 

(2) 计算 SHA-1(M) ,并 把 位 串 转换 为 整数 e。 

G) 计算 w=s"' mod N, 

(4) 计算 u — ew mod Nu 一 rmod N. 

(5) 计算 X=uG+waQ. 

(6) 如 果 X=0, 4B 46 4E AR, BMG X 的 zi 坐标 转换 成 整数 Zi, 并 计算 vn 
mod N, 

(7) 比较 v 和 7 的 值 ,如 果 v==r, 则 签名 有 效 , 否 则 签名 验证 失败 。 


1.4 Hash 函数 与 MAC 算法 


1.4.1 Hash 函数 


Hash 函数 除了 可 用 于 数字 签名 中 提高 数字 签名 的 有 效 性 破坏 某 些 数学 结构 (如 同 态 
结构 ) 和 分 离 保密 与 签名 外 ,还 可 用 于 认证 、 数 据 完整 性 检测 、 随 机 数 产 生 和 加 密 。 用 于 完整 
性 检验 或 数字 签名 中 的 Hash 函数 , 需 具 有 下 列 特性 。 

(1) 函数 必须 是 单 向 的 , 即 对 一 个 给 定 的 输出 (也 称 消息 摘要 ) ,构造 一 个 输入 消息 将 其 
映射 为 该 输出 在 计算 上 是 不 可 行 的 。 

(2) 构造 两 个 不 同 的 消息 将 它们 映射 为 同一 个 输出 必须 是 在 计算 上 不 可 行 的 。 

上 述 特 性 中 的 任何 弱点 都 有 可 能 导致 使 用 Hash 函数 进行 完整 性 检验 和 数字 签名 过 程 
中 的 弱点 。 例 如 ,如 果 一 个 主动 攻击 者 能 找到 两 个 不 同 的 消息 使 得 它们 的 消息 摘要 相同 , 则 
他 能 用 一 个 消息 去 替代 另 一 个 消息 。 不 管用 于 产生 附件 的 密码 体制 的 强度 如 何 , 这 种 替代 
都 无 法 被 检测 出 。 

Hash 函数 有 很 多 ,这 里 只 介绍 一 个 Hash 函数 , 即 SHA-1, 是 美国 安全 Hash 标准 
(SHSX(FIPS PUB 180-2) 中 的 4 个 Hash 函数 之 一 。 美 国安 全 Hash 标准 (SHS) 中 给 出 了 
4 个 Hash 函数 ,分 别 是 SHA-1、SHA-256、SHA-384 和 SHA-512。 每 个 函数 的 运行 都 可 以 
分 为 以 下 两 步 进行 : 预 处 理 和 Hash 计算 。 预 处 理 阶 段 包括 消息 的 填充 ,将 填充 的 消息 分 
为 mb 的 等 长 消息 块 ,Hash 计算 中 初始 值 的 设置 。Hash 计算 首先 由 填充 的 消息 产生 一 个 
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消息 串 ,使 用 消息 串 , 再 利用 已 知 的 函数 、 常 数 及 字 运 算 就 可 以 迭代 产生 一 系列 的 Hash 值 。 
所 得 出 的 最 终 Hash 值 作 为 消息 摘要 。 
在 描述 SHA-1 之 前 ,引入 一 些 运算 符 , 所 有 的 运算 都 是 在 32b 长 的 字 上 进行 的 。 
A: 按 位 与 运算 符 。 
V : 按 位 或 运算 符 。 
D: 按 位 异 或 运算 符 。 
7, 非 运 算 符 。 
+: 模 2* 加 法 运算 。 
<: 循环 左 移 运算 符 。 
>: 循环 右 移 运算 符 。 
SHA-1 的 输入 消息 工 的 长 度 |z| 限 制 为 一 2"b, 输 出 长 度 为 160b, 即 5 个 字 。 
给 定 一 个 消息 z,|z1 扫 2", 首 先 产生 一 个 长 度 为 512 倍数 的 0、1 d; M= 
Mi Mui; Misi; ,这 里 Ma (OSI N— DREKA 32b ff FR B— 4-5, N—0(mod 16), 
M 一 MimMr…Mrw-D 的 产生 办 法 如 下 。 
COD 假设 消息 xz 的 长 度 为 :。 首 先 将 比特 1” 添加 到 消息 的 末尾 ,再 添加 个 零 , 这 里 
是 方程 1 十 1 十 三 448 mod 512 的 最 小 的 非 负 解 。 然 后 再 添加 一 个 64b 长 的 块 ,其 值 等 于 消 
LESS JE Mi EY 
(2) 将 填充 后 的 消息 M 分 成 N 个 512b 的 块 , 即 M— Mi Mis Min- o 
现在 从 M 开始 构造 一 个 160b 的 消息 摘要 ,其 构造 过 程 如 下 。 
(1) 给 5 个 寄存 器 A、B、C、D、E 赋 初 始 值 ,A 二 67452301, B= 二 efcdab89,C=98badcfe， 
D=10325476,E=c2d2elf0。 
(2) for i—0 to N/16—1 do 
(3) for j—0 to 15 do 
Xu = Mrieitj] o 
(4) 将 给 定 的 16 个 字 Xro ,Xt «Xo D JER 80 个 字 , 这 一 步 计算 其 他 64 个 字 : 
for t — 16 to 79 do 
Xi; = (Xt ® Xe ® Xia @ Ximi) << 1. 
(5) 将 5 个 寄存 器 A、.B、C.D、E 中 的 值 存储 在 男 外 5 个 寄存 器 AA、BB、CC、DD、EE 之 
中 ,AA=A,BB=B,CC=C,DD=D,EE=E。 
(6) 执行 第 一 轮 。 
(7) 执行 第 二 轮 。 
(8) 执行 第 三 轮 。 
(9) 执行 第 四 轮 。 
(10 A=A+AA 
B=B+BB 
C=C+CC 
D=D+DD 
E=E+EE, 
每 次 处 理 16 个 字 ,这 16 个 字 的 处 理 过 程 从 第 (3) 步 到 第 (10) 步 。 最 后 一 次 , 即 第 N/16 
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次 结束 时 的 寄存 器 A、B、C、D、E 的 值 的 级 联 作为 Hash 值 输出 ,长度 为 160b。 
下 面 是 SHA-1 的 4 个 轮 的 描述 。 
第 1.2、3、4 轮 所 使 用 的 函数 分 别 如 下 。 
万 (X,Y,Z) 一 (XAY)V(XAZ)。 
f2(X,Y,Z)=X@®YOZ, 
FX, Y, D= XAY V XAZI V YAZ). 
JiCX,Y,Z) 一 户 (XY,Z)。 
58 1.2.3.4 轮 所 使 用 的 固定 的 常数 分 别 如 下 。 


K, =5a827999, 
K,=6ed9ebal. 
K;—8flbbcdc, 
K,=ca62cld6, 
第 1 轮 : 


for k=0 to 19 do 

TEMP=(A<<5) +f, (B,C,D) HE Xi t Kis 
E=D;D=C;C=(B<<30);B=A;A=TEMP, 
第 2 轮 : 

for k —20 to 39 do 
TEMP=(A<<5)+ f2(B,C,D) + E-- Xi; - Ko 5 
E=D;D=C;C=(B<<30);B=A;A=TEMP, 
第 3 轮 : 

for k —40 to 59 do 
TEMP=(A<<5)+ s (B, C,D)-E-- Xi; - Ks; 
E=D;D=C;C=(B<<30) ;B=A;A=TEMP, 
第 4 轮 : 

for k=60 to 79 do 
TEMP-(A«x5- f. CB,C,D)HFET Xi; Ka; 
E=D;D=C;C=(B<<30);B=A;A=TEMP. 


1.4.2 MAC 算法 


消息 认证 码 (MAC) 算 法 就 是 满足 某 种 安全 属性 的 带 密 钥 的 Hash 函数 。 这 里 介绍 两 
个 MAC 算法 , 即 HMAC 和 CBC-MAC, 

1. HMAC 

HMAC 是 一 种 基于 Hash 函数 的 MAC, 这 种 方法 已 经 成 为 国际 标准 ,编号 为 ISO/IEC 
9797 一 2:2002。 该 标准 中 确定 了 使 用 密 钥 和 Hash 函数 或 其 轮 函 数 计算 MAC 的 3 种 方法 。 
第 1 种 方法 是 MDx-MAC, 使 用 依赖 于 密 钥 的 方式 修改 轮 函数 和 设置 初始 值 TV; 第 2 种 方 
法 是 HMAC, HMAC 来 源 于 Internet RFC 2104 fil NIST FIPS 198; 第 3 种 方法 是 修改 的 
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MDxMAC。 每 一 种 方法 又 建议 使 用 ISO/IEC 10118—3 中 的 3 个 Hash 函数 中 的 任何 一 
个 ,因此 ISO/IEC 9797 一 2 总 共 定义 了 9 个 不 同 的 MAC 函数 。 

HMAC 的 基本 观点 是 : 使 用 Hash 函数 H, K, 和 Ko CK, # Kio it MAC= 
HCGG || HORS | |pD) ,其 中 K A K: 由 同一 个 密 钥 K 导出 。 

HMAC 的 工作 流程 如 下 。 

4 H fi—* Hash 函数 ,K 表示 密 钥 ,B 表示 计算 消息 摘要 时 的 块 按 字 节 的 长 度 (对 
SHA-1 是 64B) .L 表示 消息 摘要 按 字 节 计算 的 长 度 ,ipad 表示 0x36 重复 B 次 ,opad 表示 
0x5c HR BK. K 可 以 有 不 超过 B 字 节 的 任意 长 度 , 但 一 般 建议 K 的 长 度 不 小 于 工 。 当 
使 用 长 度 大 于 B. 的 密 钥 时 , 先 用 H 对 密 钥 进行 杂凑 ,然后 用 得 出 的 工 字 节 作为 HMAC 的 
真正 密 钥 。 

计算 一 个 数据 m 的 HMAC 的 操作 如 下 。 

CD E K 的 后 面 加 上 足够 的 0 以 得 到 召 字 节 的 串 。 

D 将 第 (1) 步 得 到 的 也 字 节 串 与 ipad HR, 

(3) 将 数据 流 m 接 在 第 (2) 步 得 到 的 B 字 节 串 后 面 。 

(4) 将 互 应 用 于 第 (3) 步 的 比特 串 。 

C5) 将 第 (1) 步 所 得 的 B. 57158 5j opad 异 或 。 

C6) 将 第 (4) 步 的 消息 摘要 接 在 第 (5) 步 的 B 字 节 串 后 面 。 

(7) 应 用 互 于 上 一 步 的 比特 串 。 

上 面 的 描述 可 以 表述 为 H((K @ opad) | | H(K @ ipad| |m)). 


2. CBC-MAC 

CBC-MAC 是 一 种 使 用 密 钥 和 nb 分 组 密码 计算 mb MAC 的 方法 ,已 经 成 为 国际 标准 ， 
最 新 编号 为 ISO/IEC 9797 一 1:1999 , 它 是 在 ISO/IEC 9797:1994 的 基础 上 增加 了 一 些 新 
内 容 。 

ISO/IEC 9797: 1994 陈述 了 使 用 一 个 nb 分 组 密码 获得 mb MAC(Cm<z) 的 过 程 ,其 基 
本 思想 是 : 首先 ,填充 数据 ,形成 一 串 nb 组 ;其 次 ,使 用 CBC 模式 加 密 这 些 数据 ;对 最 后 的 
输出 分 组 进行 选择 处 理 和 截断 (如 果 m<n) FB XX: MAC, 

设 nb 数据 组 是 Di ,D: ,…,D,, W MAC 的 具体 计算 过 程 如 下 。 

(D € =D, H} o e). 

(2) 对 i 二 2,3,… ,q, 完 成 下 列 计算 : I, D Oii .O,=ex (O2. 

(3) 对 0, 进 行 选择 处 理 和 截断 ,获得 mb MAC. 
其 中 ex 表示 分 组 密码 的 加 密 变 换 。 

MAC 的 产生 有 以 下 3 种 填充 方法 。 

方法 1: 对 需要 计算 MAC 的 数据 的 右边 填充 若干 个 或 零 个 0b, 以 便 得 到 一 个 比特 长 度 
是 n 的 整数 倍 的 数据 串 。 

方法 2: 对 需要 计算 MAC 的 数据 的 右边 先 填充 一 个 1b, 然 后 填充 若干 个 或 零 个 0b, 以 
便 得 到 一 个 比特 长 度 是 ”的 整数 倍 的 数据 串 。 

方法 3: 首先 对 需要 计算 MAC 的 数据 的 右边 填充 若干 个 或 零 个 0b ,以 便 得 到 一 个 比特 
长 度 是 的 整数 倍 的 数据 串 ; 其 次 ,在 所 得 到 的 数据 串 的 左边 填充 一 个 nb 组 ,该 组 包含 了 未 
进行 填充 的 数据 的 比特 长 度 的 二 元 表示 ,其 左边 用 0 补 齐 。 
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如 果 验 证 者 不 知道 数据 的 长 度 , 则 应 选用 填充 方法 2 或 方法 3, 因 为 这 两 种 方法 可 使 验 
证 者 查 明 所 填充 的 那些 0b。 

选择 处 理 方法 : 如 果 在 计算 CBC-MAC 的 过 程 中 没有 使 用 选择 处 理 和 截断 过 程 ,就 会 
出 现 安全 缺陷 。 这 是 因为 : 假定 MAC, =ex (D) MAC, — ex CDD W MAC; 是 两 个 分 组 消 
息 D.D'C) MAC, 的 一 个 合法 MAC。 这 种 攻击 方法 称 为 截断 和 粘贴 (cut and. paste) 攻 击 ， 
可 以 通过 选择 处 理 过 程 或 上 述 的 填充 方法 3 来 避免 。 

标准 中 规定 了 两 种 具体 的 选择 处 理 方法 : 

d) 选择 一 个 密 钥 K^ ,计算 O,=ex- COD. 

(2) 选择 一 个 密 钥 K^ ,计算 O,— ex (dk* COD. 

选择 处 理 过 程 除了 避免 截断 和 粘贴 攻击 之 外 ,还 可 以 增加 密码 分 析 者 穷 搜 索 密 钥 KK 的 
难度 。 

截断 方法 : 在 选择 处 理 后 , 取 nb 组 的 最 左边 的 mb 构成 MAC。 

6 种 CBC-MAC 算法 如 下 。 

(D Algorithm 1—CBC-MAC with no optional process, 

(2) Algorithm 2—CBC-MAC with optional process as single extra encryption, 

(3) Algorithm 3— CBC-MAC with optional process as extra decryption and encryption 
(i.e. , triple encrypt last block). 

(4) Algorithm 4= Double encrypt first and last blocks. 

(5) Algorithm 5=Two parallel instances of algorithm 1 (ex-or outputs). 

(6) Algorithm 6— Two parallel instances of algorithm 4 (ex-or outputs). 


1.5 密 钥 管理 简介 


从 前 面 所 描述 的 可 以 看 到 ,大 部 分 密码 算法 都 依赖 于 密 钥 。 密 钥 的 管理 本 身 是 一 个 很 
复杂 的 课题 ,而 且 是 保证 安全 性 的 关键 点 。 密 钥 管理 包括 确保 产生 的 密 钥 具 有 必要 的 特性 ， 
通信 双方 事先 约定 密 钥 的 方法 以 及 密 钥 的 保护 机 制 与 方法 等 。 密 钥 管理 方法 实质 上 因 所 使 
用 的 密码 算法 (对 称 密码 算法 和 公 钥 密码 算法 ) 而 异 。 

所 有 的 密 钥 都 有 生存 期 。 所 谓 一 个 密 钥 的 生存 期 是 指 授权 使 用 该 密 钥 的 周期 。 一 般 
地 ,一 个 密 钥 主要 经 历 以 下 几 个 阶段 。 

CD 密 钥 产生 ,也 可 能 需要 登记 。 

(2) 密 钥 分 发 。 

(3) 密 钥 启 用 / 停 用 。 

(4) 密 钥 替 换 /更 新 。 

(5) 密 钥 撤销 。 

(6) 密 钥 销毁 。 

密 钥 产生 必须 要 考虑 具体 密码 算法 的 公认 的 限制 ,如 避免 RSA 的 弱 密 钥 。 密 钥 产生 也 
必须 确保 使 用 一 个 合适 的 随机 过 程 。 如 果 密 钥 选择 过 程 有 一 定 的 约束 ,就 缩小 了 攻击 者 搜 
索 密 钥 的 空间 。 为 此 ,应 该 用 一 个 适当 的 随机 数 生成 器 来 产生 密 钥 。 最 好 的 办 法 是 使 用 物 
理 噪 声 源 。 当 然 , 也 可 以 使 用 一 个 用 秘密 的 随机 初始 种 子 控制 的 伪 随 机 软件 过 程 来 产生 密 
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钥 , 但 是 必须 慎重 使 用 。 

密 钥 登记 包括 将 产生 的 密 钥 与 特定 的 使 用 捆绑 在 一 起 。 例 如 ,用 于 数字 签名 的 密 钥 , 必 
须 与 签名 者 的 身份 捆绑 在 一 起 。 这 个 捆绑 必须 通过 某 一 授权 机 构 来 完成 。 

密 钥 分 发 包括 对 称 密码 算法 的 密 钥 分 发 和 公 钥 密码 算法 的 密 钥 分 发 ,二 者 的 要 求 有 着 
本 质 的 差别 。 在 一 个 对 称 密 码 算法 中 ,要 求 将 一 个 密 钥 从 通信 的 一 方 通 过 某 种 方式 发 送 到 
另 一 方 ,只 有 通信 双方 知道 密 钥 而 其 余 任何 一 方 都 不 知道 该 密 钥 。 在 一 个 公 钥 密码 算法 中 ， 
要 求 私 钥 只 有 通信 一 方 知道 ,而 其 余 任 何 一 方 都 不 知道 ,与 私 钥 匹配 使 用 的 公 钥 是 公开 的 ， 
任何 人 都 可 以 使 用 该 公 铀 和 私 钥 的 拥有 者 进行 秘密 通信 。 当 分 发 一 个 公 钥 时 ,不 需要 机 密 
性 。 然 而 , 公 钥 的 完整 性 是 必需 的 。 绝 对 不 允许 攻击 者 用 别 的 值 蔡 代 成 员 A 的 公 钥 使 得 成 
员 B 相信 该 值 是 成 员 A 的 公 钥 。 因 此 , 公 钥 分 发 不 像 在 电话 短 上 公布 电话 号 码 那 样 简单 ， 
它 需要 以 某 种 特定 的 方式 来 分 发 。 目 前 人 们 主要 采用 证 书 的 方式 来 分 发 公 钥 。 一 个 公 钥 证 
书 是 一 个 数据 结构 , 它 将 某 一 成 员 的 标识 符 和 一 个 公 钥 值 捆绑 在 一 起 。 证 书 数据 结构 由 某 
一 被 称 为 认证 机 构 的 成 员 进行 数字 签名 。 

密 钥 启用 / 停 用 和 密 钥 替换 /更 新 与 密 钥 分 发 有 关 , 也 是 密 钥 管理 中 很 重要 的 环节 。 

密 钥 撤销 在 特定 的 环境 中 是 必需 的 。 原 因 是 密 钥 撤销 包括 与 密 钥 有 关 的 系统 的 迁移 ， 
怀疑 一 个 特定 的 密 钥 已 受到 威胁 或 密 钥 的 使 用 目的 已 经 改变 (如 提高 安全 级 别 ) 。 

密 钥 销毁 包括 清除 一 个 密 钥 的 所 有 踪迹 。 一 个 密 钥 的 值 在 被 停止 使 用 后 可 能 还 要 持续 
一 段 时 间 , 如 一 条 记载 的 加 密 数据 流 包含 的 信息 可 能 仍然 需要 保密 一 段 时 间 。 为 此 ,使 用 的 
任何 密 钥 的 秘密 性 都 需要 保持 到 所 保护 的 信息 不 再 需要 保密 为 止 。 这 表明 在 密 钥 的 使 用 活 
动 终结 后 ,安全 地 销毁 所 有 敏感 密 钥 的 副本 是 十 分 重要 的 。 例 如 ,必须 使 得 一 个 攻击 者 通过 
观察 旧 的 数据 文件 ,存储 的 内 容 或 抛弃 的 设备 ,确定 旧 密 钥 值 是 绝对 不 可 能 的 。 

一 般 地 , 密 钥 从 产生 到 终结 的 整个 生存 期 中 ,都 需要 加 强 保护 。 所 有 密 钥 的 完整 性 也 需 
要 保护 ,因为 一 个 人 侵 者 可 能 修改 或 替代 密 钥 , 从 而 危及 机 密 性 服务 。 另 外 ,除了 公 钥 密码 
算法 中 的 公 钥 外 ,所 有 的 密 钥 需要 保密 。 在 实际 中 ,存储 密 钥 最 安全 的 方法 是 将 其 放 在 物理 
上 安全 的 地 方 。 当 一 个 密 钥 无 法 用 物理 的 办 法 进行 安全 保护 时 ,如 当 密 钥 需 要 从 一 个 地 方 
传送 到 另 一 个 地 方 时 , 密 钥 必 须 用 其 他 的 方法 来 保护 ,诸如 : 

COD 由 一 个 可 信 方 来 分 发 ; 

(2) 将 一 个 密 钥 分 成 两 部 分 ,委托 给 两 个 不 同 的 人 或 机 构 ; 

C3) 通过 机 密 性 (如 用 另 一 个 密 钥 加 密 ) 和 完整 性 服务 来 保护 。 

在 现代 信息 系统 中 , 密 钥 分 发 主要 通过 密 钥 分 配 和 密 钥 协商 等 密 钥 交换 协议 来 完成 ,这 
些 协 议 的 安全 性 研究 非常 重要 ,而 且 已 将 这 些 研究 内 容 都 归结 为 安全 协议 的 研究 范围 。 


1.6 小 结 
本 章 简要 介绍 了 一 些 典 型 的 密码 算法 ,其 真正 目的 是 为 了 更 好 地 描述 安全 协议 或 理解 


安全 协议 ,因此 ,没有 对 其 安全 现状 及 其 他 方面 做 阐述 。 对 密码 算法 感 兴趣 的 读者 可 参阅 文 
献 [1] 一 [5], 想 了 解密 码 学 最 新 进展 的 读者 可 参阅 文献 [6] 一 [8]。 
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本 章 主要 介绍 安全 协议 的 分 类 、 系 统 模型 .安全 属性 、 设 计 准 则 、 安 全 缺陷 分 类 基础 理 
论 与 方法 概述 等 。 


2.1 安全 协议 的 分 类 


安全 协议 的 分 类 问题 还 没有 一 个 被 学 术 界 广泛 认可 的 一 般 方法 ,一 般 来 说 ,看 问题 的 角 
度 不 同 ,分 类 就 不 同 。 本 节 从 作者 的 视角 介绍 了 安全 协议 的 分 类 问题 。 

从 安全 协议 所 要 实现 的 目的 来 看 ,可 以 将 现 有 的 最 常用 的 安全 协议 分 为 以 下 6 类 。 

CD 密 钥 交换 协议 。 该 类 协议 用 于 完成 会 话 密 钥 的 建立 。 一 般 情 况 下 是 在 参与 协议 的 
两 个 或 者 多 个 实体 之 间 建 立 共 享 的 秘密 ,如 用 于 一 次 通信 中 的 会 话 密 钥 。 协 议 中 的 密码 算 
法 可 采用 对 称 密码 算法 ,也 可 采用 公 钥 密码 算法 。 

已 有 很 多 密 钥 交换 协议 ,如 Diffie Hellman 协议 、Blom 协议 .MQYV 协议 、. 端 - 端 协议 、 
MTI 协议 和 Girault 协议 等 。 

(2) 认证 协议 。 该 类 协议 用 于 防止 假冒 . 自 改 否认 等 攻击 ,实现 身份 认证 ,消息 完 整 性 
认证 ,数据 源 和 目标 认证 等 ,主要 包括 实体 认证 (身份 认证 ,又 称 身份 识别 ) 协 议和 数字 签名 
协议 。 

最 有 代表 性 的 身份 认证 协议 有 两 类 : 一 类 是 1984 年 由 Shamir 提出 的 基于 身份 的 身份 
认证 协议 ; 另 一 类 是 1986 年 Fiat 等 人 提出 的 零 知 识 身 份 认 证 协议 。 随 后 ,人 们 在 这 两 类 协 
议 的 基础 上 又 提出 了 一 系列 实用 的 身份 认证 协议 ,如 Schnorr 协议 Okamoto 协议 、Guillou- 
Quisquater 协议 和 Feige-Fiat-Shamir 协议 等 。 

数字 签名 协议 主要 有 两 类 : 一 类 是 普通 数字 签名 协议 ,该 类 数字 签名 协议 通常 称 为 数 
字 签 名 算法 ,如 第 1 章 中 介绍 的 RSA 数字 签名 算法 .DSA; 另 一 类 是 特殊 数字 签名 协议 ,如 
不 可 否认 的 数字 签名 协议 .Fail-Stop 数字 签名 协议 、 群 数字 签名 协议 等 。 

(3) 认证 密 钥 交换 协议 。 该 类 协议 将 认证 协议 和 密 钥 交换 协议 结合 在 一 起 , 先 对 通信 
实体 的 身份 进行 认证 ,在 认证 成 功 的 基础 上 ,为 下 一 步 安 全 通信 分 发 所 使 用 的 会 话 密 钥 。 

常见 的 认证 密 钥 交换 协议 有 互联 网 密 钥 交换 (IKE) 协 议 、 分 布 式 认证 安全 服务 (DASS) 
BK Kerberos 协议 、X. 509 协议 等 。 

当然 ,这 类 协议 既 可 纳入 密 钥 交换 协议 ,又 可 纳入 认证 协议 。 

(4) 安全 电子 支付 和 安全 电子 交易 协议 。 该 类 协议 用 于 电子 商务 系统 中 以 确保 电子 支 
付 和 电子 交易 的 安全 性 、 可 靠 性 和 公平 性 。 电 子 商务 系统 中 交易 的 双方 ,往往 其 利益 目标 不 
一 致 。 因 此 ,该 类 协议 最 为 关注 的 就 是 公平 性 , 即 协议 应 保证 交易 双方 都 不 能 通过 损害 对 方 
利益 而 得 到 它 不 应 得 的 利益 。 

常见 的 安全 电子 支付 和 电子 交易 协议 有 SET DX KP 协议 和 电子 现金 等 。 

(5) 安全 通信 协议 。 该 类 协议 用 于 计算 机 通信 网 络 中 以 确保 信息 的 安全 交换 等 。 
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常见 的 安全 通信 协议 有 PPTP/L2PP 协议 .IPSec BRL. SSL/TLS HN, PGP 协议 、 
S/MIME 协议 .S-HTTP 协议 和 SNMPv3 协议 等 。 

(6) 安全 多 方 计算 协议 。 该 类 协议 的 目的 是 保证 分 布 式 环境 中 各 参与 方 以 安全 的 方式 
来 共同 执行 分 布 式 的 计算 任务 。 该 类 协议 的 两 个 最 基本 的 安全 要 求 是 保证 协议 的 正确 性 和 
各 参与 方 私 有 输入 的 秘密 性 , 即 协议 执行 完 之 后 每 个 参与 方 都 应 该 得 到 正确 的 输出 ,并 且 除 
此 之 外 不 能 获知 其 他 任何 信息 。 该 类 协议 的 实例 包括 秘密 共享 、 掷 币 (Coin-tossing) 、 安 全 
广播 .网 上 选举 、 电 子 投标 和 拍卖 .合同 签署 .匿名 交易 \ 保 密 信息 检索 、 保 密 数 据 库 访问 、 联 
合 签名 和 联合 解密 等 协议 。 

用 高 度 抽象 的 观点 来 看 ,可 以 将 大 部 分 已 有 的 安全 协议 归纳 为 安全 多 方 计算 协议 ,但 这 
样 做 一 般 不 利于 问题 的 解决 。 

从 安全 协议 与 具体 应 用 的 关联 性 来 看 ,可 以 将 现 有 的 最 常用 的 安全 协议 分 为 以 下 两 类 。 

(1) 基础 安全 协议 。 该 类 协议 与 具体 应 用 无 关 , 是 设计 应 用 安全 协议 或 其 他 复杂 协议 
的 基础 ,如 秘密 共享 协议 .数字 签名 协议 .身份 识别 协议 、 密 钥 交 换 协 议 、 健 忘 传输 协议 和 公 
平 交换 协议 等 。 

(2) 应 用 安全 协议 。 该 类 协议 与 具体 应 用 有 关 , 是 用 基础 安全 协议 或 密码 算法 结合 具 
体 应 用 构建 的 协议 ,如 Kerberos 认证 协议 、X. 509 协议 .IPSec PPIX, TLS/SSL 协议 .SET 
协议 .PKI/CA 协议 和 可 信 计 算 协议 等 。 

本 书 将 按照 第 2 种 分 类 方式 介绍 相关 安全 协议 。 


2.2 安全 协议 系统 模型 


在 一 个 大 的 分 布 式 环境 中 运行 安全 协议 所 面临 的 最 大 问题 是 ,其 所 处 的 网 络 通信 环境 
是 不 安全 的 。 如 果 将 协议 及 其 所 处 的 环境 视 为 一 个 系统 ,那么 在 这 个 系统 中 ,一 般 而 言 包括 
发 送 和 接收 消息 的 诚实 主体 和 一 个 攻击 者 ,以 及 用 于 管理 消息 发 送 和 接收 的 规则 。 协 议 的 
合法 消息 可 被 攻击 者 截取 、 修 改 . 重 放 、 删 除 和 插入 。 攻 击 者 将 所 有 已 知 的 消息 放 和 人 其 知识 
集合 KS(Knowledge Set) 中 。 诚 实 主 体 之 间 交 换 的 任何 消息 都 将 被 加 入 到 攻击 者 的 KS 
中 ,并 且 攻 击 者 可 对 KS 中 的 消息 进行 操作 ,将 所 得 消息 也 加 入 到 KS 中 。 攻 击 者 可 进行 的 
操作 至 少 包括 级 联 、 分 离 ,加密 和 人 解密。 图 2. 1 是 安全 协议 系统 模型 的 示意 图 。 

一 个 被 动 攻击 者 可 在 线 窃 听 敏 感 信息 。 而 一 个 主动 攻击 者 则 可 截获 数据 包 并 对 其 进行 
任意 的 修改 ,甚至 可 以 伪装 成 通信 主体 欺骗 诚实 主体 与 其 进行 非法 通信 。 加 密 运算 可 以 有 
效 地 阻止 主动 人 侵 ,因为 在 不 知道 密 钥 的 前 提 下 ,对 密 文 消息 的 丝毫 改动 都 将 导致 解密 运算 
的 失败 ,此 时 攻击 者 能 做 的 仅仅 是 阻止 消息 送 达 或 准时 送 达 其 目的 地 。 归 纳 起 来 ,攻击 者 的 
行为 表现 为 以 下 几 种 形式 。 

(1) 将 消息 发 送 到 其 意 定 接收 者 。 

(2) 延迟 消息 的 送 达 。 

(3) 将 消息 修改 后 转发 。 

(4) 将 消息 与 以 前 接收 的 消息 合并 。 

(5) 改变 部 分 或 全 部 消息 的 目的 地 址 。 

(6) 重 放 消 息 。 
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环境 /入 侵 者 


图 2.1 安全 协议 系统 模型 示意 图 


2.3 安全 协议 的 安全 属性 


简单 地 说 ,安全 协议 的 目标 就 是 保证 某 些 安全 属性 在 协议 执行 完毕 时 能 够 得 以 实现 , 换 
言 之 ,评估 一 个 安全 协议 是 否 是 安全 的 就 是 检查 其 所 要 达到 的 安全 属性 是 否 受到 人 侵 者 的 
破坏 。 主 要 有 认证 性 \ 机 密 性 ` 完 整 性 和 非 否 认 性 等 安全 属性 。 

CD 认证 性 。 认 证 可 以 对 抗 假冒 攻击 的 危险 ,认证 可 以 用 来 确保 身份 ,并 可 用 于 获取 对 
某 人 或 某 事 的 信任 。 在 协议 中 , 当 某 一 成 员 ( 声 称 者 ) 提 交 一 个 主体 身份 并 声称 它 是 那个 主 
体 时 ,需要 运用 认证 以 确认 其 身份 是 否 如 其 声称 所 言 。 或 者 声称 者 需 拿 出 证 明 其 真实 身份 
的 证 据 , 这 个 过 程 称 为 认证 的 过 程 。 在 协议 的 实体 认证 中 可 以 是 单 向 的 也 可 以 是 双向 的 。 

(2) 机 密 性 。 机 密 性 的 目的 是 保护 协议 消息 不 被 泄露 给 非 授权 拥有 此 消息 的 人 ,即使 
是 入 侵 者 观测 到 了 消息 的 格式 , 它 也 无 法 从 中 得 到 消息 的 内 容 或 提炼 出 有 用 的 信息 。 保 证 
协议 消息 机 密 性 的 最 直接 的 办 法 是 对 消息 进行 加 密 。 加 密使 得 消息 由 明文 变 为 密 文 , 并 且 
任何 人 在 不 拥有 密 钥 的 情况 下 是 不 能 解密 消息 的 。 

(3) 完整 性 。 完 整 性 的 目的 是 保护 协议 消息 不 被 非法 改变 、 删 除 和 替代 。 最 常用 的 方 
法 是 封装 和 签名 , 即 用 加 密 或 者 签名 的 办 法 或 者 用 Hash 函数 产生 一 个 明文 的 摘要 附 在 传 
送 的 消息 上 ,作为 验证 消息 完整 性 的 依据 , 称 为 完整 性 校 验 值 (ICV)。 一 个 关键 性 的 问题 
是 ,通信 双方 必须 事先 达成 有 关 算 法 的 选择 等 款项 的 共识 。 如 果 被 保护 的 消息 拥有 一 定 的 
元 余 , 加 密 消息 的 宛 余 能 保证 消息 完整 性 的 效果 。 因 为 如 果 一 个 人 侵 者 不 知道 加 密 密 钥 而 
修改 了 密 文 的 一 部 分 , 则 会 导致 在 解密 的 过 程 中 产生 不 正确 的 结果 。 

(4) 非 否认 性 。 非 否认 性 的 目的 是 通过 通信 主体 提供 对 方 参与 协议 交换 的 证 据 以 保证 
其 合法 利益 不 受 侵害 , 即 协议 主体 必须 对 自己 的 合法 行为 负责 ,而 不 能 也 无 法 事后 否认 。 非 
否认 协议 的 主体 目的 是 收集 证 据 , 以 便 事后 能 够 向 可 信 仲 裁 证 明 对 方 主体 的 确 发 送 了 或 接 
收 了 消息 。 证据 一 般 是 以 签名 消息 的 形式 出 现 的 ,从 而 将 消息 与 消息 的 意 定 发 送 者 进行 了 
绑 定 。 

另外 ,还 有 公平 性 、 匿 名 性 、 可 用 性 、 可 控 性 等 安全 属性 ,这 里 只 对 公平 性 和 匿名 性 做 一 
点 解释 ,其 他 安全 属性 就 不 再 袭 述 了 。 

(5) 公平 性 。 公 平 性 的 目的 是 保证 协议 的 参与 者 不 能 单方 面 中 止 协议 或 获得 有 别 于 其 
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他 参与 者 的 额外 优势 ,在 合同 签署 协议 中 具有 重要 的 意义 。 
(6) 匿名 性 。 匿 名 性 的 目的 是 保证 消息 的 发 送 者 的 身份 不 被 泄露 ,也 就 是 消息 与 消息 
发 送 者 的 身份 不 再 绑 定 在 一 起 。 


2.4 安全 协议 的 设计 准则 


如 果 在 安全 协议 的 设计 阶段 就 能 够 充分 考虑 一 些 不 当 的 协议 结构 可 能 使 协议 的 安全 性 
免 遭 破坏 ,从 而 避免 不 必要 的 协议 错误 ,将 是 事半功倍 的 。Abadi 和 Needham 在 文献 [1] 中 
提出 了 设计 安全 协议 应 遵守 的 一 些 原则 ,归纳 起 来 有 以 下 几 个 方面 。 

COD 消息 独立 完整 性 原则 。 每 条 消息 都 应 能 够 准确 地 表达 出 它 所 想 要 表达 的 含义 ,一 
条 消息 的 解释 应 完全 由 其 内 容 来 决定 ,而 不 必 借 助 于 上 下 文 来 推断 。 协 议 消 息 采 用 标准 的 
形式 化 语言 加 以 描述 ,或 者 采用 非 形式 化 的 自然 语言 描述 。 此 原则 指出 对 接收 消息 的 不 同 
解释 与 不 同 的 消息 格式 的 假设 有 关 。 最 常用 的 协议 消息 描述 格式 为 : 

[1] A+B: m 

协议 设计 者 的 本 意 是 想 表示 : 协议 的 消息 [1] 是 由 主体 A 向 主体 B RUE m. PEER 
体 的 协议 执行 时 这 条 消息 会 有 多 种 可 能 的 解释 。 例 如 ,m 的 发 送 者 不 一 定 保证 是 A ,m 的 接 
收 者 也 不 能 保证 就 是 B ,或 者 B 不 是 m 的 唯一 接收 者 。 原 因 在 于 m 并 未 与 主体 进行 正确 的 
绑 定 ,或 者 说 消息 内 容 并 未 完全 反映 设计 者 的 意图 ,需要 借助 于 上 下 文 来 分 析 。 这 就 使 入侵 
者 可 用 此 消息 替换 该 协议 其 他 轮 次 中 的 消息 。 

(2) 消息 前 提 准 确 性 原则 。 与 消息 的 执行 相关 的 先决 前 提 条 件 应 当 明 确 给 出 ,并 且 其 
正确 性 与 合理 性 能 够 得 到 验证 ,由 此 可 判断 出 此 消息 是 否 应 当 被 接受 。 这 条 原则 是 在 上 一 
条 原则 的 基础 上 的 进一步 说 明 , 即 不 仅 要 考虑 消息 本 身 ,还 要 考虑 与 每 条 消息 相关 的 条 件 是 
否 是 合理 的 ,或 者 说 ,每 条 消息 所 基于 的 假设 是 否 是 能 够 成 立 的 。 

(3) 主体 身份 标识 原则 。 如 果 一 个 主体 的 标识 对 于 某 个 消息 的 含义 是 重要 的 ,那么 最 
好 在 消息 中 明确 地 附 上 主体 的 名 称 。 有 两 种 方式 : 一 种 是 显 式 的 , 即 在 消息 中 主体 的 名 字 
以 明文 形式 出 现 ; 另 一 种 是 隐 式 的 , 即 采用 加 密 或 签名 算法 ,使 得 能 够 从 消息 格式 中 明确 地 
推 知 消息 所 属 主体 的 身份 。 

(4) 加 密 目 的 明确 性 原则 。 明 确 采 用 密码 运算 的 目的 ,否则 将 造成 元 余 。 密 码 算法 并 
不 与 安全 性 同 义 , 它 的 不 正确 使 用 可 导致 协议 错误 。 因 此 在 使 用 密码 算法 时 必须 知道 为 什 
么 使 用 以 及 如 何 使 用 。 加 密 可 实现 多 种 安全 目的 ,如 机 密 性 、 完 整 性 、 认 证 性 等 ,因此 在 协议 
中 使 用 加 密 算法 时 ,必须 确保 它 的 确 能 够 保证 某 种 安全 属性 的 实现 。 

O 签名 含义 清晰 性 原则 。 当 主体 对 一 个 加 密 消息 进行 签名 时 ,并 不 表明 主体 知道 加 
密 消 息 的 内 容 。 反 之 ,如 果 主 体 对 一 个 消息 签名 后 再 加 密 , 则 表明 主体 知道 消息 的 内 容 。 因 
此 ,如 果 需 要 同时 使 用 加 密 与 签名 时 ,应 当先 对 消息 进行 签名 再 对 结果 进行 加 密 。 

(6) 临时 值 使 用 原则 。 在 协议 中 使 用 临时 值 时 ,对 其 所 具有 的 属性 和 所 起 的 作用 一 定 
要 认识 清楚 。 如 果 使 用 一 个 可 预测 的 值 作为 临时 值 ,那么 应 该 保护 这 个 临时 值 以 使 入 侵 者 
不 能 模拟 一 个 挑战 而 后 重 放 响 应 。 

(7) 随机 数 使 用 原则 。 在 协议 中 使 用 随机 数 时 ,应 明确 其 所 起 的 作用 和 属性 。 使 用 随 
机 数 可 提供 消息 的 新 鲜 性 ,因此 随机 数 的 真正 随机 性 是 关键 。 
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C8) 时 间 戳 使 用 原则 。 当 使 用 时 间 惟 时 ,必须 考虑 各 个 机 器 的 时 钟 与 当地 标准 时 间 的 
差异 ,这 种 差异 不 能 影响 到 协议 执行 的 有 效 性 。 时 间 系 统 的 维护 成 为 可 信任 计算 基础 的 重 
要 部 分 。 时 间 戳 的 使 用 极 大 地 依赖 于 时 钟 的 同步 ,但 要 做 到 这 一 点 是 很 不 容易 的 。 

(9) 密 钥 使 用 原则 。 当 使 用 密 钥 时 ,必须 考虑 密 钥 是 否 最 近 被 使 用 过 。 例 如 ,用 于 加 密 
一 个 随机 数 , 那 么 该 密 钥 就 是 过 期 的 或 可 能 已 被 泄露 。 

(10) 消息 定位 原则 。 推 测 出 一 条 消息 属于 哪个 协议 ,属于 该 协议 的 哪 次 运行 ,并 知道 
它 在 协议 中 的 序号 是 可 能 的 。 

AD 信任 关系 明确 性 原则 。 协 议 中 的 信任 关系 必须 被 明确 地 表达 出 来 ,并 对 这 些 信 任 
关系 的 必要 性 给 出 合理 的 解释 。 


2.5 安全 协议 的 缺陷 分 类 


非 正式 地 讲 , 如 果 一 个 安全 协议 使 得 非法 用 户 不 能 从 协议 中 获得 比 此 协议 本 身 所 体现 
的 更 多 的 有 用 信息 , 则 称 这 个 协议 是 安全 的 ,同时 也 意味 着 该 协议 能 够 达到 预定 的 安全 
目标 。 

安全 协议 是 许多 分 布 式 系统 安全 的 基础 ,确保 这 些 协议 的 安全 运行 是 极为 重要 的 。 大 
多 数 安 全 协议 只 有 为 数 不 多 的 几 个 消息 传递 ,其 中 每 一 个 消息 都 是 经 过 巧妙 设计 的 ,消息 之 
间 存 在 着 复杂 的 相互 作用 与 制约 ,而且 在 安全 协议 中 往往 使 用 多 种 不 同 的 密码 算法 ,此 外 协 
议 设计 者 对 协议 运行 环境 的 安全 需求 估计 不 足 或 者 采用 不 当 的 技术 ,这 些 都 会 导致 设计 的 
安全 协议 存在 安全 漏洞 与 缺陷 ,并 引发 人 侵 者 对 协议 进行 各 类 攻击 行为 ,从 而 破坏 协议 的 安 
全 性 。 

归纳 起 来 ,安全 协议 的 缺陷 从 来 源 上 讲 可 分 为 两 类 : 一 类 是 由 于 设计 时 的 不 规范 引发 
的 ; 另 一 类 是 在 具体 执行 时 产生 的 。 学 术 界 提出 的 安全 协议 设计 原则 ,试图 从 一 开始 就 避免 
协议 缺陷 产生 的 可 能 。 

尽管 协议 设计 者 尽 可 能 在 协议 设计 时 回避 可 能 的 人 为 错误 ,但 是 安全 协议 在 实际 应 用 
时 仍 会 出 现 各 种 类 型 的 缺陷 ,并 且 产生 的 原因 是 十 分 复杂 的 ,很 难 有 一 种 通用 的 分 类 方法 将 
安全 协议 的 安全 缺陷 进行 分 类 。Gritzalis 和 Spinellis 根据 安全 协议 缺陷 产生 的 原因 和 相应 
的 攻击 方法 对 安全 缺陷 进行 了 分 类 。 

(1) 基本 协议 缺陷 。 它 是 指 在 安全 协议 的 设计 中 没有 或 很 少 防范 人 侵 者 攻击 而 引发 的 
协议 缺陷 。 例 如 ,对 加 密 的 消息 进行 签名 ,从 而 使 人 侵 者 通过 用 它 自 己 的 签名 替换 原 有 的 签 
名 来 伪装 成 发 送 者 。 

D 口令 / 密 钥 猜 测 缺陷 。 这 类 缺陷 产生 的 原因 是 用 户 往往 从 一 些 常用 的 词 中 选择 其 
口令 ,从 而 导致 人 侵 者 能 够 进行 口令 猜测 攻击 ;或 者 选取 了 不 安全 的 伪 随 机 数 生 成 算法 构造 
密 钥 ,使 人 侵 者 能 够 恢复 该 密 钥 。 

(3) 陈旧 消息 缺陷 。 它 是 指 协议 设计 中 对 消息 的 新 鲜 性 没有 充分 考虑 ,从 而 使 人 侵 者 
能 够 进行 消息 重 放 攻击 ,包括 消息 源 的 攻击 消息 目的 的 攻击 等 。 根 据 消息 的 来 源 与 去 向 ， 
陈旧 消息 攻击 可 分 为 消息 来 源 攻击 与 消息 目的 地 攻击 。 

(D 并 行 会 话 缺陷 。 协 议 对 并 行 会 话 攻击 缺乏 防范 ,从 而 导致 人 侵 者 通过 交换 适当 的 
协议 消息 能 够 获得 所 需要 的 重要 消息 。 并 行 会 话 攻击 可 使 人 侵 者 通过 交换 一 定 的 协议 消息 


RSKK—_BRKSTER 


获得 重要 的 信息 。 协 议 中 主体 的 角色 可 区 分 为 单一 角色 和 多 重 角色 ,在 单一 角色 协议 中 主 
体 与 其 角色 之 间 有 一 一 对 应 关系 ,而 在 多 重 角色 协议 中 则 是 一 对 多 的 关系 。 据 此 ,并 行 会 话 
缺陷 又 可 分 为 并 行 会 话 单一 角色 缺陷 和 并 行 会 话 多 重 角色 缺陷 。 

(5) 内 部 协议 缺陷 。 协 议 的 可 达 性 存在 问题 ,协议 的 参与 者 中 至 少 有 一 方 不 能 够 完成 
所 有 必需 的 动作 而 导致 缺陷 。 

(6) 密码 算法 缺陷 。 协 议 中 使 用 的 密码 算法 导致 协议 不 能 够 完全 满足 所 要 求 的 机 密 
性 ` 认 证 性 等 需求 而 产生 的 缺陷 。 


2.6 消息 重 放 攻 击 及 其 对 策 


消息 重 放 攻 击 主要 是 指 入 侵 者 利用 其 消息 再 生 能 力 生 成 诚实 用 户 所 期 望 的 消息 格式 并 
重 放 , 从 而 达到 破坏 协议 安全 属性 的 目的 。 由 于 消息 是 协议 的 主要 组 成 部 分 ,协议 主体 的 身 
份 认 证 、 消 息 的 机 密 性 都 是 通过 消息 的 正确 传递 来 实现 的 ,因此 根据 攻击 目的 对 消息 进行 任 
意 的 组 合并 重 放 是 人 侵 者 对 协议 实施 各 种 具体 攻击 常用 的 手法 。 

Syverson 中 根据 消息 的 来 源 和 去 向 对 消息 重 放 攻击 进行 了 分 类 ,其 中 ,根据 消息 的 来 源 
把 重 放 攻击 分 为 轮 内 攻击 和 轮 外 攻击 。 前 者 是 指 对 一 个 协议 轮 内 的 消息 进行 重 放 , 后 者 是 
指 对 一 个 协议 的 不 同 轮 次 的 消息 进行 重 放 。 对 于 协议 的 轮 外 攻击 ,根据 协议 的 不 同 轮 次 的 
执行 时 间 是 否 是 重 伙 的 ,又 可 分 为 交叉 攻击 和 典型 重 放 攻 击 。 前 者 不 同 轮 次 的 协议 执行 时 
间 是 有 重 且 的 ,而 后 者 则 没有 重 全 。 

根据 消息 的 去 向 ,可 将 重 放 攻 击 分 为 偏转 攻击 和 直接 攻击 。 偏 转 攻 击 是 指 改 变 了 消息 
的 去 向 ,使 消息 为 非 意 定 的 主体 接收 。 又 可 区 分 为 两 种 情况 : 一 种 是 将 消息 返还 给 了 发 方 ， 
称 为 反射 攻击 ; 另 一 种 是 将 消息 发 给 了 协议 合法 通信 双方 之 外 的 任 一 方 , 称 为 第 三 方 攻击 。 
直接 攻击 是 指 消息 的 确 发 给 了 意 定 的 接收 方 ,但 是 被 延迟 了 。 

因此 , 当 一 个 诚实 的 主体 遭受 重 放 攻击 时 , 它 收 到 的 消息 有 可 能 是 : 本 轮 内 的 消息 重 
放 CEA OMA SWE. ABABA E ,延迟 的 消息 。 它 发 送 的 消息 有 可 能 是 : 
被 返还 ,被 发 往 第 三 方 , 被 延迟 。 

在 消息 重 放 攻 击 实施 的 基础 上 还 可 实现 其 他 一 些 攻击 。 例 如 ,G， Lowe" 提出 了 一 种 
攻击 方法 ,多 重 会 话 攻击 。 多 重 会 话 主要 是 指 通信 双方 建立 了 超出 正常 范围 的 会 话 数 。 具 
体 而 言 , 主 体 A 欲 与 主体 B 建 立 一 次 会 话 , 但 由 于 入 侵 者 的 介入 , 却 与 主体 A 建立 了 两 次 其 
至 多 次 会 话 ,并 且 A 对 此 毫 无 觉察 。 多 重 会 话 的 直接 结果 是 对 协议 认证 性 的 破坏 ,因为 主 
体 之 间 建 立会 话 是 在 确认 对 方 身份 的 基础 上 进行 的 。 造 成 多 重 会 话 攻击 的 原因 是 通信 双方 
都 允许 建立 多 重 会 话 , 并 且 对 于 入 侵 者 的 消息 重 放 通 信 双 方 不 能 识别 。 再 如 窃听 重 放 攻 击 ， 
和 人 侵 者 插入 到 声称 者 和 验证 者 之 间 的 通道 上 ,主动 修改 使 得 它 好 像 对 验证 者 来 说 是 一 个 合 
法 的 声称 者 ,而 对 声称 者 来 讲 它 是 一 个 合法 的 验证 者 。 

防止 消息 重 放 攻 击 的 关键 是 保证 消息 的 “新 鲜 性 ”。 无 论 是 基于 对 称 密码 算法 还 是 公 角 
密码 算法 的 安全 机 制 ,都 要 有 一 种 机 制 保证 交换 消息 是 “新 鲜 " 的 。 这 里 的 “新 鲜 ” 是 指 消息 
刚刚 被 产生 和 发 送 , 而 不 是 先前 产生 和 发 送 的 消息 的 重 放 。 通 过 保证 消息 的 “新 鲜 ” 可 有 效 
地 阻止 人 侵 者 实施 各 类 消息 的 重 放 攻击 。 

实体 认证 在 保证 数据 的 机 密 性 和 认证 性 上 是 非常 重要 的 。 认 证 的 目的 就 是 保证 通信 双 


第 2 章 XU xmi 


方 可 以 互相 证 实 。 通 信 实 体 是 通过 提交 所 知道 的 某 项 秘密 信息 来 证 实 自己 的 身份 。 采 用 密 
码 算法 可 以 保证 实体 在 此 过 程 中 不 会 将 秘密 信息 泄露 出 去 。 但 如 果 该 实体 总 是 使 用 同样 的 
消息 来 证 明 身 份 , 那 任何 人 只 需 重 放 这 个 消息 就 可 以 伪装 该 实体 ,这 也 是 人 侵 者 实施 消息 重 
放 攻 击 得 手 的 原因 。 

因此 ,在 认证 协议 中 必须 有 一 种 机 制 能 够 检验 消息 的 新 旧 以 抵御 重 放 。 根 据 在 消息 中 
所 放 入 的 非 重 复 值 的 不 同 ,可 分 为 3 种 方法 : 序列 号 机 制 . 时 间 戳 机 制 和 挑战 -响应 机 制 , 这 
3 种 机 制 都 是 基于 时 间 变 量 的 。 

(1) 序列 号 机 制 。 这 一 方法 最 为 简单 ,接收 方 通过 比较 消息 中 的 序列 号 以 判断 消息 是 
新 产生 的 还 是 重 放 的 。 一 般 而 言 ,这 一 方法 要 求 每 对 通信 实体 必须 存储 一 对 专用 于 消息 “新 
鲜 性 ”检测 的 序列 号 。 而 且 这 对 通信 实体 必须 事先 商定 好 序列 号 递增 的 方式 。 实 体 收 到 消 
息 后 ,根据 事先 协商 的 策略 检查 消息 中 的 序列 号 是 否 有 效 。 这样 ,由 于 每 个 消息 都 有 其 各 自 
不 同 的 序列 号 , 且 不 会 重复 ,接收 方 就 可 区 分 消息 的 新 旧 。 

序列 号 机 制 要 求 每 个 消息 都 带 有 足够 的 信息 以 便 接收 方 检验 消息 的 新 旧 。 这 一 特点 使 
得 安全 通信 前 的 延迟 大 大 减少 。 这 点 对 使 用 无 连接 服务 的 分 布 式 应 用 尤为 有 用 。 但 是 以 序 
列 号 作为 认证 协议 中 的 变量 参数 ,将 会 在 分 布 式 应 用 的 管理 上 产生 大 量 的 开销 。 因 为 通信 
实体 必须 为 与 它 通信 的 每 个 实体 记录 消息 最 后 使 用 的 序列 号 , 即 如 果 在 一 个 分 布 式 系统 中 
存在 N 个 实体 , 则 每 个 实体 必须 存储 (N 一 1) 对 序列 号 。 这 在 一 个 大 环境 中 是 不 可 行 的 。 
一 般 这 种 机 制 用 于 通信 系统 中 成 员 较 少 的 情形 下 。 

(2) 时 间 惟 机制。 在 这 种 机 制 中 ,消息 的 新 旧 是 由 消息 上 盖 的 时 间 改 决定 的 。 只 有 当 
消息 上 的 时 间 戳 与 当前 本 地 时 间 的 差 值 在 一 定 范围 内 ,接收 方才 接收 这 个 消息 。 时 间 惟 机 
制 与 序列 号 机 制 非常 类 似 ,通信 双方 只 需 交 换 两 个 消息 就 可 互相 认证 。 

但 这 一 机 制 有 一 个 致命 的 弱点 : 就 是 必须 有 一 个 全 局 时 钟 。 而 在 实际 的 分 布 式 系统 
中 ,各 机 器 的 时 钟 都 是 通过 某 种 时 钟 同步 协议 来 保证 同步 的 。 但 目前 不 少时 钟 同步 协议 中 
缺少 认证 ,而 且 许多 用 户 没 有 意识 到 危险 的 存在 , 仍 在 继续 使 用 它 。 即 便 采 用 安全 级 别 较 高 
的 时 钟 同步 协议 ,基于 时 钟 的 认证 协议 的 安全 强度 也 仍 是 值得 怀疑 的 。 因 为 消息 的 传递 具 
有 有 限 的 速度 ,而 各 分 布 时 钟 不 可 能 在 任 一 时 刻 具 有 相同 的 时 钟 值 。 这 就 包含 一 些 潜在 的 
可 能 攻击 : 如 果 验 证 者 弄 错 了 当前 的 时 间 ,那么 旧 消 息 就 能 被 很 容易 地 重 放 ; 如 果 一 个 合法 
的 声称 者 弄 错 了 当前 的 时 间 ,那么 就 有 可 能 被 利用 在 一 个 合理 的 时 间 点 对 验证 者 重 放 后 产 
生 认证 请 求 ; 如 果 双 方 的 时 钟 都 有 较 大 的 偏差 , 则 双方 都 会 被 人 侵 者 利用 。 

所 以 接收 方 必须 考虑 接收 到 的 消息 上 的 时 间 戳 不 可 能 同 其 本 地 时 钟 完全 一 致 ,为 此 采 
用 “接收 窗口 "机制 。 其 中 窗口 的 尺寸 必须 足够 大 ,以 便 能 够 接收 大 多 数 新 的 消息 ;而 且 也 必 
须 足够 小 ,以 便 能 够 检查 出 入 侵 者 的 重 放 消 息 。 然 而 ,这 一 点 在 现实 中 往往 很 难 达 到 ,因为 
发 送 方 无 法 保证 所 发 送 的 新 消息 比 和 人 侵 者 发 送 的 重 放 消息 在 网 络 上 传递 的 时 间 短 。 所 以 无 
论 接收 窗口 的 尺寸 有 多 小 , 它 都 可 能 比 实际 的 最 小 重播 延迟 大 。 这 一 点 使 得 基于 时 间 戳 的 
认证 机 制 不 能 用 于 敏感 性 环境 中 。 如 目前 广泛 使 用 的 Kerberos V4 中 就 是 利用 时 间 戳 抵御 
重播 的 ,但 它 是 建立 在 这 样 的 一 种 假设 上 : 在 认证 的 生存 周期 里 (如 5min 内 ) 不 存在 重播 现 
象 。 这 一 假设 给 该 机 制 带 来 一 个 安全 隐患 。 

(3) 挑战 -响应 机 制 。 它 也 称 口令 -应 答 机 制 (Challenge-response)。 在 这 一 机 制 中 , 消 
息 的 时 间 变 量 参 数 由 接收 方 在 该 消息 传递 前 明确 地 向 消息 发 送 方 说 明 。 由 于 在 该 机 制 中 采 
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用 了 多 次 握手 以 达到 认证 ,因此 系统 的 开销 大 大 增加 ,至 少 在 每 次 安全 通信 开始 前 ,都 需要 
一 轮 消息 交换 。 这 使 得 数据 消息 的 认证 不 太 可 能 , 且 该 机 制 要 求 所 有 通信 实体 都 必须 保留 
状态 信息 、 随 机 挑战 值 ,以 便 完成 认证 协议 。 这 一 机 制 可 方便 地 应 用 于 基于 TCP 的 服务 中 ， 
但 对 那些 基于 UDP 的 服务 来 说 ,需要 比较 大 的 改动 。 因 此 ,挑战 -响应 机 制 只 适用 于 那些 面 
向 连接 的 通信 中 。 


2.7 安全 协议 基础 理论 与 方法 概述 


安全 协议 基础 理论 与 方法 的 研究 主要 包括 以 下 5 个 方面 : 可 证 明 安全 性 理论 与 方法 、 
形式 化 分 析 理论 与 方法 、 混 合理 论 与 方法 、 零 知识 证 明理 论 与 方法 、 安 全 多 方 计 算 理论 与 方 
法 。 本 节 简 要 概述 这 些 基 础 理论 与 方法 的 研究 目的 、 研 究 背景 和 发 展 过 程 等 。 

(D 可 证 明 安 全 性 理论 与 方法 。 目 前 多 数 安全 协议 的 设计 现状 是 : 

(D 提出 一 种 安全 协议 后 ,基于 某 种 假想 给 出 其 安全 性 论断 ;如 果 该 协议 在 很 长 时 间 ( 如 
10 年 ) 仍 不 能 被 破译 ,大 家 就 广泛 接受 其 安全 性 论断 。 

四 一 段 时 间 后 可 能 发 现 某 些 安全 漏洞 ,于 是 对 协议 再 作 必 要 的 改动 ,继续 使 用 ,这 一 过 
程 可 能 周而复始 。 

这 样 的 设计 方法 存在 以 下 问题 : 

CD 新 的 分 析 技 术 的 提出 时 间 是 不 确定 的 ,在 任何 时 候 都 有 可 能 提出 新 的 分 析 技 术 ; 

Q) 这 种 做 法 使 人 们 很 难 确信 协议 的 安全 性 , 反 反复 复 地 修补 更 增加 了 人 们 对 安全 性 的 
担心 ,也 增 大 了 实现 代价 或 成 本 。 可 证 明 安 全 性 理论 与 方法 就 是 为 解决 上 述 问题 而 提出 的 
一 种 解决 方案 (当然 并 非 是 唯一 解决 方案 ) 。 

可 证 明 安全 性 是 指 , 安 全 方案 或 协议 的 安全 性 可 以 被 “证 明 ”, 但 用 “证 明 ” 一 词 并 不 十 分 
恰当 ,甚至 有 些 误导 。 一 般 而 言 ,可 证 明 安 全 性 是 指 这 样 一 种 “ 归 约 ”方法 : 首先 确定 安全 方 
案 或 协议 的 安全 目标 。 例 如 ,在 加 密 方案 中 ,其 安全 目标 是 确保 信息 的 机 密 性 ;然后 构造 一 
个 形式 敌手 模型 ,并 且 定 义 它 对 安全 方案 或 协议 的 安全 性 “意味 ”着 什么 ,对 某 个 基于 “ 极 微 
本 原 ”(Atomic Primitives, 指 安全 方案 或 协议 的 最 基本 组 成 构件 或 模块 ,如 基础 密码 算法 、 
某 数学 难题 等 ) 的 特定 方案 或 协议 ,基于 以 上 形式 化 模型 去 分 析 它 ,“ 归 约 ” 论 断 是 基本 工具 ; 
最 后 指出 (如 果 能 成 功 ) ,挫败 方案 或 协议 的 唯一 方法 就 是 破译 或 解决 “ 极 微 本 原 ”。 换 句 话 
讲 , 对 协议 的 直接 分 析 是 不 必要 的 ,因为 对 协议 的 任何 分 析 结 果 都 是 对 极 微 本 原 安 全 性 的 分 
析 。 从 以 上 角度 来 看 , 称 “ 归 约 安全 ”也 许 比 “ 可 证 明 安 全 ”更 恰当 ,但 现在 纠正 为 时 已 晚 ,无 
妨 仍 沿用 原名 称 , 但 必须 理解 其 真正 含义 。 

综 上 所 述 , 可 证 明 安全 性 理论 本 质 上 是 一 种 公理 化 研究 方法 ,其 最 基础 的 假设 或 “公理 ” 
是 :“ 好 ”的 极 微 本 原 存 在 。 安 全 协议 设计 难题 一 般 分 为 两 类 : 一 类 是 极 微 本 原 不 可 靠 造 成 
协议 不 安全 ; 另 一 类 是 即使 极 微 本 原 可 靠 , 安 全 协议 本 身 也 不 安全 ,也 就 是 其 结构 有 缺陷 。 
后 一 种 情况 更 为 普遍 ,是 可 证 明 安全 性 理论 与 方法 的 主要 研究 范围 。 

20 世纪 80 年 代 初 ,Goldwasser、Micali 和 Rivest 等 人 首先 比较 系统 地 阐述 了 可 证 明 安 
全 性 这 一 思想 ,并 给 出 了 具有 可 证 明 安全 性 的 加 密 和 签名 方案 。 不 幸 的 是 ,以 上 方案 的 可 证 
明 安全 性 是 以 严重 牺牲 效率 为 代价 的 ,因此 以 上 方案 虽然 在 理论 上 具有 重要 意义 ,但 不 实 
用 ,这 种 情况 严重 制约 了 这 一 领域 的 发 展 。 直 到 20 世纪 90 年 代 中 期 出 现 了 “面向 实际 的 可 
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证 明 安 全 性 (Practice-Oriented Provable-Security) ”概念 ,特别 是 Bellare 和 Rogaway 提出 
了 著名 的 RO(Random Oracle. 随机 预言 ) 模 型 方法 论 , 才 使 得 情况 大 为 改观 : 过 去 仅 作为 纯 
粹 理论 研究 的 可 证 明 安全 性 理论 ,迅速 在 实际 应 用 领域 取得 重大 进展 ,一 大 批 快捷 有 效 的 安 
全 方案 相继 提出 ;同时 还 产生 了 另 一 个 重要 概念 :“ 具 体 安全 性 ”(Concrete Security or 
Exact Security) ,其 意义 在 于 ,人 们 不 再 仅仅 满足 于 知道 安全 性 的 渐 近 度量 ,而 是 可 以 确切 
了 解 较 准确 的 安全 度量 。 面 向 实际 的 可 证 明 安 全 性 理论 取得 了 巨大 的 成 功 ,已 为 学 术 界 和 
产业 界 广 为 接 受 ;但 Canetti 和 Goldreich 对 此 持 有 异议 ,并 坚持 仍 在 标准 模型 (Standard 
Model) 中 考虑 安全 性 。 但 可 以 肯定 的 是 ,迄今 为 止 ,RO 模型 方法 论 是 可 证 明 安 全 性 理论 最 
成 功 的 实际 应 用 ,其 现状 是 : 几乎 所 有 国际 安全 标准 体系 都 要 求 提供 至 少 在 RO 模型 中 可 
证 明 的 安全 性 设计 ,而 当前 可 证 明 安全 性 的 方案 也 大 都 基于 RO 模型 。 

(2) 形式 化 分 析 理 论 与 方法 。 安 全 协议 的 形式 化 分 析 理 论 与 方法 可 使 协议 设计 者 通过 
系统 分 析 , 将 注意 力 集中 于 接口 系统 环境 的 假设 、 系 统 在 不 同 条 件 下 的 状态 、 条 件 不 满足 时 
系统 出 现 的 情况 及 系统 不 变 的 属性 ,并 通过 系统 验证 ,提供 协议 必要 的 安全 保证 。 通 俗 地 
讲 , 安 全 协议 的 形式 化 分 析 方 法 是 采用 一 种 正规 的 、 标 准 的 方法 对 协议 进行 分 析 , 以 检查 协 
议 是 否 满足 其 安全 目标 。 因 此 ,安全 协议 的 形式 化 分 析 理 论 与 方法 的 研究 有 助 于 : 界定 安 
全 协议 的 边界 , 即 协议 系统 与 其 运行 环境 的 界面 ;更 准确 地 描述 安全 协议 的 行为 ;更 准确 地 
定义 安全 协议 的 特性 ;证 明 安全 协议 满足 其 说 明 , 以 及 证 明 安全 协议 在 什么 条 件 下 不 能 满足 
其 说 明 。 

早 在 1978 年 ,Needham 和 Schroeder 就 提出 了 对 安全 协议 进行 形式 化 分 析 的 思想 ,他 
们 提出 了 为 进行 共享 和 公 钥 认证 的 认证 服务 器 系统 的 实现 建立 安全 协议 , 称 之 为 Needham- 
Schroeder 协议 。1981 年 Denning 和 Sacco 指出 了 Needham-Schroeder 协议 的 一 个 错误 ,使 
得 人 们 开始 关注 安全 协议 形式 化 分 析 这 一 研究 领域 。 真 正在 这 一 领域 首先 做 出 工作 的 是 
Dolev 和 Yao。 随 后 , Dolev, Even 和 Karp 等 人 也 做 了 大 量 的 工作 。 直 到 1989 年 ， 
Burrows, Abadi fll Needham 提出 了 BAN 逻辑 之 后 才 打破 了 形式 化 分 析 这 一 领域 的 神秘 
感 , 并 从 此 引起 人 们 的 关注 。BAN 逻辑 通过 对 认证 协议 的 运行 进行 形式 化 分 析 ,来 研究 认 
证 双方 通过 相互 发 送 和 接收 消息 从 最 初 的 信仰 逐渐 发 展 到 协议 运行 最 终 要 达到 的 目的 一 一 
认证 双方 的 最 终 信 仰 。BAN 逻辑 的 规则 十 分 简洁 和 直观 ,易于 使 用 。BAN 逻辑 成 功 地 对 
Needham-Schroeder 协议 .Kerberos 协议 等 几 个 著名 的 协议 进行 了 分 析 ,找到 了 这 些 协 议 的 
已 知 的 和 未 知 的 漏洞 ,并 导致 许多 安全 协议 形式 化 分 析 方法 的 诞生 。 

安全 协议 的 形式 化 分 析 方法 目前 主要 有 3 类 。 第 一 类 是 以 BAN 类 逻辑 为 代表 的 基于 
推理 结构 性 方法 ,该 方法 主要 是 运用 逻辑 系统 从 用 户 接收 和 发 送 的 消息 出 发 ,通过 一 系列 的 
推理 公理 推 证 协议 是 否 满足 其 安全 说 明 。 第 二 类 是 以 基于 Dolev-Yao 模型 的 状态 探测 和 定 
理 推 证 和 Mur $ 模 型 检测 为 代表 的 基于 攻击 结构 性 方法 ,该 方法 对 协议 进行 分 析 时 一 般 要 
借助 于 自动 化 工具 ,如 一 般 目 的 的 模型 检测 工具 FDR 和 Mur 以 及 特殊 目的 的 NRL 分 析 
器 和 Interrogator, 这 些 方法 都 是 从 协议 的 初始 状态 开始 ,对 合法 主体 和 一 个 攻击 者 的 所 有 
可 能 的 执行 路 径 进行 穷尽 搜索 ,以 期 找到 协议 可 能 存在 的 错误 。 第 三 类 是 以 Strand Space 
理论 和 Paulson 归纳 法 为 代表 的 基于 证 明 结 构 性 方法 ,该 方法 的 基本 思路 是 推广 和 完善 协 
议 模型 ,根据 新 模型 提出 有 效 的 分 析 理 论 。 

(3) 混合 理论 与 方法 。 安 全 协议 的 形式 化 方法 与 可 证 明 安 全 性 方法 在 相当 长 时 间 内 独 
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立 发 展 、 自 成 体系 。 严 格 来 讲 , 这 两 种 方法 是 互 斥 的 。 可 证 明 安全 性 方法 具有 明确 的 安全 定 
义 和 计 算 化 的 语义 , 它 所 描述 的 安全 强度 ,敌手 模型 都 是 比较 接近 于 实际 的 ,但 实际 可 操作 
性 较 差 ,证 明 过 程 复杂 ,难以 进行 自动 化 分 析 ; 形 式 化 方法 在 形式 化 分 析 与 证 明 中 利用 的 只 
是 对 安全 协议 形式 系统 的 语 构 (Syntax) 的 研究 ,在 语 构 和 推理 规则 约定 后 ,形式 化 系统 的 内 
部 推演 只 是 对 一 系列 符号 串 的 重 写 而 已 ,这 些 过 程 都 可 以 机 械 地 完成 ,因此 易于 进行 自动 化 
分 析 , 但 形式 化 方法 没有 计算 化 的 语义 (Semantic) ,语义 不 清楚 ,不 可 以 量化 安全 ,也 不 能 像 
可 证 明 安全 性 方法 那样 进行 安全 性 归 约 证 明 。 但 是 , 近 几 年 一 些 学 者 逐步 认识 到 这 两 种 方 
法 具有 很 强 的 互补 性 : 一 方面 ,通过 把 形式 化 的 语 构 推理 引入 到 可 证 明 安全 性 方法 中 ,寻找 
密码 可 靠 的 形式 化 模型 ,使 复杂 的 归 约 过 程 得 到 简化 ; 另 一 方面 ,对 形式 化 方法 重新 给 出 其 
计算 化 的 语义 ,研究 在 语 构 下 逻辑 等 价 的 两 个 变 元 在 语义 化 后 的 计算 等 价 性 问题 , 即 不 可 区 
分 性 问题 ,这 就 是 所 谓 的 形式 化 方法 的 计算 合理 性 问题 。Abadi 和 Rogaway 最 早 (2000 4E) 
研究 了 将 形式 化 的 消息 串 计 算 化 后 的 计算 合理 性 问题 。 随 后 Canetti 在 UC (Universal 
Composability) 的 基础 上 提出 了 符号 化 UC 的 概念 ,将 符号 化 引入 到 可 证 明 安全 性 方法 中 ; 
Mitchell 领导 的 研究 小 组 提出 了 计算 化 的 符号 验算 模型 ;Backes 等 提出 了 密码 化 (密码 可 
靠 ) 的 形式 化 证 明 模 型 ,这 些 工作 都 是 对 混合 方法 的 具体 尝试 。 目 前 混合 理论 与 方法 的 研究 
主要 有 两 大 类 : 一 类 是 形式 化 方法 的 计算 合理 性 ; 另 一 类 是 密码 可 靠 的 形式 化 模型 与 方法 。 

(4) 零 知识 证 明理 论 与 方法 。20 世纪 80 年 代 初 ,Goldwasser 等 人 提出 了 零 知识 证 明 
这 一 概念 。 零 知识 证 明 是 一 种 协议 ,这 种 协议 的 一 方 称 为 证 明 者 , 它 试图 使 被 称 为 验证 者 的 
另 一 方 相信 某 个 论断 是 正确 的 , 却 不 向 验证 者 提供 任何 有 用 的 信息 。Goldwasser 等 人 提出 
的 零 知 识 证 明 是 交互 式 的 ,也 就 是 证 明 者 和 验证 者 之 间 必须 进行 交互 ,才能 实现 零 知识 性 ， 
因而 称 为 交互 零 知 识 证 明 。20 世纪 80 年 代 末 ,Blum 等 人 通过 利用 一 个 共同 的 称 为 参考 串 
的 短 随机 串 代 蔡 交 互 实现 了 零 知 识 证 明 这 一 思想 ,他 们 把 这 种 零 知 识 证 明 称 为 非 交互 零 知 
识 证 明 ,这 种 证 明 是 非 交 互 的 , 单 向 的 ,也 就 是 证 明 者 和 验证 者 在 定理 证 明 阶 段 无 须 进 行 交 
互 ,就 能 实现 零 知 识 性 。 非 交互 零 知 识 证 明 比 交互 零 知识 证 明 的 适用 范围 更 广 ,因此 大 大 地 
扩充 了 零 知识 证 明 思想 的 应 用 。 

在 交互 零 知 识 证 明 (Interactive Zero Knowledge Proofs) 研 究 中 ,最 常用 的 基本 模型 有 
两 种 。 一 种 是 GMR 模型 ,在 这 种 模型 中 ,证 明 者 具有 无 限 的 计算 能 力 ,验证 者 具有 多 项 式 
时 间 的 计算 能 力 ,证 明 指 的 是 语言 成 员 问 题 , 即 输入 了 是否 是 语言 L 的 一 个 成 员 。GMR 的 
零 知 识 证 明 不 是 真正 的 零 知 识 证 明 , 这 是 因为 在 证 明 中 ,证 明 者 向 验证 者 揭露 了 1b 信息 , 即 
IEL, 但 除 此 之 外 ,再 没有 其 他 任何 附加 的 信息 泄露 给 验证 者 ,通常 称 这 种 交互 零 知 识 证 
明 为 成 员 或 定理 的 零 知识 证 明 (Zero Knowledge Proofs of Membership or Theorem), 5j 
一 种 是 FFS 模型 ,在 这 种 模型 中 ,证 明 者 和 验证 者 均 具 有 多 项 式 时 间 的 计算 能 力 ,证 明 者 的 
目的 不 是 向 验证 者 证 明 TEL, 而 是 证 明 他 知道 I 关于 工 的 状况 。FFS 的 零 知 识 证 明 是 真正 
的 零 知识 证 明 ,因为 在 证 明 中 ,验证 者 没有 得 到 任何 信息 ,他 连 IEL 还 是 T&GL 都 不 知道 ， 
但 他 相信 这 个 证 明 , 通常 称 这 种 交互 零 知 识 证 明 为 知识 或 身份 的 零 知 识 证 明 (Zero 
Knowledge Proofs of Knowledge or Identity) 。 

在 非 交 互 零 知 识 证 明 (Non-Interactive Zero-Knowledge Proof) 研 究 中 ,人 们 也 主要 关 
心 两 种 模型 : 一 种 是 成 员 或 定理 的 非 交互 零 知 识 证 明 系 统 ; 另 一 种 是 知识 的 非 交互 零 知 识 
证 明 系 统 。 
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(5) 安全 多 方 计算 理论 与 方法 。 安 全 多 方 计算 的 研究 目标 是 为 分 布 式 计算 提供 安全 解 
决 方 案 。 安 全 多 方 计算 理论 与 方法 的 研究 有 助 于 : 澄清 分 布 式 计算 中 一 些 最 基本 的 安全 问 
题 ;说 明 在 既定 的 安全 模型 下 哪些 计算 功能 是 可 以 安全 实现 的 ,哪些 是 不 可 行 的 ;给 出 设计 
分 布 式 安全 协议 的 一 般 技术 和 方法 ;设计 可 应 用 于 实际 系统 中 的 某 些 具 体 的 方案 和 模块 。 

安全 多 方 计算 是 由 Yao 于 1982 年 提出 的 一 个 概念 ,Goldreich-Micali-Wigderson 给 出 
了 一 般 的 描述 。20 世纪 80 年 代 , 安 全 多 方 计算 的 研究 工作 主要 集中 于 安全 模型 的 建立 、 安 
全 概念 的 定义 ,以 及 安全 计算 功能 的 可 实现 性 等 基本 问题 。20 世纪 90 年 代 以 来 ,主要 研究 
有 效 的 安全 多 方 计算 协议 ,并 针对 一 些 特殊 问题 ,研究 有 效 的 非 交互 的 解决 方案 ,如 联合 解 
密 、 联 合 签名 、 保 密 数据 库 访问 ,保密 信息 检索 (PIR) 等 。 最 近 的 研究 工作 主要 集中 于 协议 
合成 的 安全 性 问题 。 

已 有 研究 结果 表明 ,理论 上 任何 安全 多 方 计算 问题 都 可 以 通过 电路 计算 协议 来 解决 ,但 
如 何 设计 有 效 的 安全 多 方 计算 协议 ,降低 协议 的 交互 通信 和 轮 数 、 通 信 的 复杂 性 及 计算 复杂 
性 ,一 直 是 人 们 关注 的 焦点 。 就 目前 来 看 ,按照 这 一 方法 所 设计 的 协议 的 效率 与 实用 性 之 间 
的 差距 ,可 能 是 无 法 令 人 满意 的 。 所 以 ,对 于 特定 问题 ,需要 考虑 其 具体 的 安全 环境 ,建立 新 
的 安全 模型 ,重新 定义 可 以 接受 的 确切 安全 性 ,设计 实用 的 安全 多 方 计算 协议 。 


2.8 小 结 


为 了 更 好 地 理解 安全 协议 的 本 质 ,本 章 简要 介绍 了 安全 协议 的 一 些 基本 问题 。 安 全 协 
议 的 研究 逐渐 从 密码 学 特别 是 密码 算法 的 研究 中 分 离 出 来 (当然 二 者 有 着 千 丝 万 缕 的 联 
系 ) ,成 为 信息 安全 的 一 个 独立 的 学 科 分 支 , 其 研究 内 容 主 要 包括 两 大 方面 : 安全 协议 的 研 
究 和 协议 的 安全 性 研究 。 其 最 大 特点 是 安全 性 分 析 难 度 大 ,与 实际 应 用 结合 紧密 。 

安全 协议 理论 方面 的 研究 成 果 可 参阅 文献 [4] 一 [7], 安 全 协议 应 用 方面 的 研究 成 果 可 
参阅 文献 [8]、[9] 等 。 


参考 文献 


[1] Abadi M, Needham R. Prudent engineering practice for cryptographic protocols. IEEE Transactions 
on Software Engineering,22(1):6~15,January 1996. 

[2] Paul Syverson. A Taxonomy of Relay Attacks. In proceedings of the 7th IEEE Computer Security 
Foundations Workshop,97—101. ACM Press, New York, November, 131—136, 1994. 

[3] Lowe G. A hierarchy of authentication specifications. In Proceedings of the 1997 IEEE Computer 
Society Symposium on Research in Security and Privacy, pages 31— 43,1997. 

[4] 范 红 , 冯 登 国 . 安全 协议 理论 与 方法 . 北京 : 科学 出 版 社 ,2003. 

[5] 冯 登 国 . 可 证 明 安全 性 理论 与 方法 研究 . 软件 学 报 ,Vol. 16 ,No. 10,2005,1743 一 1756. 

[6] 汉 登 国 , 范 红 . 安全 协议 形式 化 分 析 理 论 与 方法 研究 综述 ,中 国 科学 院 研究 生 院 学 报 , Vo. 20, No. 4, 
2003,389 一 406. 

[7] ERDER. 安全 协议 的 形式 化 分 析 技 术 与 方法 ,计算 机 学 报 ,2006,29(01),1 一 20. 

[8] 汉 登 国 . 计算 机 通信 网 络 安全 .北京 : 清华 大 学 出 版 社 ,2001. 

[9] 陈 性 元 , 杨 艳 , 任 志 宇 . 网 络 安全 通信 协议 .北京 : 高 等 教育 出 版 社 ,2008. 


第 2 篇 安全 协议 基础 理论 与 方法 


安全 协议 基础 理论 与 方法 是 构建 安全 协议 的 核心 基础 ,是 指导 设计 和 分 析 安 全 协议 的 
有 力 工具 ,其 研究 成 果 涉 及 面 广 、 难 度 大 、 内 容 丰 富 。 本 篇 重点 介绍 可 证 明 安 全 性 理论 与 方 
法 、 形 式 化 分 析 理 论 与 方法 、 混 合理 论 与 方法 、 零 知识 证 明理 论 与 方法 、 安 全 多 方 计算 理论 与 
方法 等 5 个 方面 的 内 容 ,以 便 读 者 较 全 面 地 掌握 和 运用 这 些 基础 理论 与 方法 ,更 好 地 理解 安 
全 协议 设计 和 分 析 过 程 中 涉及 的 一 些 基 本 概念 ,模型 .方法 和 技巧 。 
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启发 式 设计 方法 存在 以 下 问题 : 新 的 分 析 技 术 的 提出 时 间 是 不 确定 的 ,在 任何 时 候 都 
有 可 能 提出 新 的 分 析 技术 ;这 种 做 法 使 人 们 很 难 确 信 协 议 的 安全 性 , 反 反复 复 地 修补 更 增加 
了 人 们 对 安全 性 的 担心 ,也 增 大 了 实现 代价 或 成 本 。 

那么 有 什么 解决 办 法 呢 ? 可 证 明 安 全 性 理论 与 方法 就 是 为 解决 上 述 问题 而 提出 的 一 种 
解决 方案 (当然 并 非 是 唯一 解决 方案 ) 。 

实际 上 ,可 证 明 安 全 性 理论 与 方法 是 在 一 定 的 敌手 模型 下 证 明了 安全 方案 或 协议 能 够 
达到 特定 的 安全 目标 ,因此 ,合适 的 安全 目标 定义 、 适 当 的 敌手 模型 是 我 们 讨论 可 证 明 安全 
性 的 前 提 条 件 。 

可 证 明 安全 性 理论 与 方法 的 应 用 价值 是 显而易见 的 ,一 方面 ,可 以 把 主要 精力 集中 在 
“ 极 微 本 原 ” 的 研究 上 ,这 是 一 种 古老 的 、 基 础 性 的 、 带 有 艺术 色彩 的 研究 工作 ; 另 一 方面 ,如 
果 你 相信 和 极 微 本 原 的 安全 性 ,不必 进 一 步 分 析 协 议 即 可 相信 其 安全 性 。 

必须 说 明 的 是 ,可 证 明 安 全 性 理论 与 方法 也 有 局 限 性 。 首 先 必须 注意 模型 规划 , 即 注意 
所 建 模型 都 涵盖 了 哪些 攻击 ,显然 一 些 基于 物理 手段 的 攻击 都 不 包含 在 内 ,但 这 并 不 意味 着 
可 证 明 安全 性 的 方案 就 一 定 不 能 抵抗 这 类 攻击 ,而 是 说 未 证 明 可 以 抵抗 这 类 攻击 ;其 次 即使 
应 用 具有 可 证 明 安全 性 的 方案 ,也 可 能 有 多 种 方式 破坏 安全 性 : 有 时 证 明了 安全 性 ,但 问题 
可 能 是 错误 的 ,也 可 能 应 用 了 错误 的 模型 或 者 协议 被 错误 操作 ,甚至 软件 本 身 可 能 有 错误 。 

另 一 需要 注意 的 问题 是 基础 假设 的 选取 。 可 证 明 安 全 性 是 以 某 一 假设 为 基础 的 ,因此 
一 旦 该 假设 靠不住 ,安全 性 证 明 也 就 没有 意义 (当然 不 一 定 意味 着 可 构造 对 方案 的 攻击 实 
例 ) ;选取 基础 假设 的 原则 就 是 “ 越 弱 越 好 ”, 通 常 称 弱 假设 为 标准 假设 。 基 础 假设 的 强 弱 是 
比较 不 同安 全 方案 的 重要 尺度 之 一 。 

上 述 表述 较为 抽象 ,下 面 以 RSA 为 例 加 以 说 明 。 

给 定 某 个 基于 RSA 的 协议 已 ,如 果 设 计 者 或 分 析 者 给 出 了 从 RSA 单 向 函数 到 P 安全 
性 的 归 约 ,那么 了 具有 以 下 转换 性 质 : 对 于 任何 声称 破译 P. 的 敌手 (程序 )A ,以 A 为 “转换 
算法 ”的 输入 ,必然 导致 一 个 协议 Q,Q 可 被 证 明 破 译 RSA。 结 论 是 : 只 要 你 不 相信 RSA 是 
可 破译 的 ,那么 上 述 的 Q 就 不 存在 ,因而 P 是 安全 的 。 


3.1 基本 概念 与 计算 假设 


3.1.1 基本 概念 


对 可 证 明 安 全 性 的 精确 形式 化 有 多 种 形式 ,一 般 是 在 计算 复杂 性 理论 框架 下 讨论 ,如 主 
要 考虑 “概率 多 项 式 时 间 (PPT) ”敌手 A 和 转换 算法 ,以 及 “可 忽略 ”的 成 功 概率 。 这 是 一 种 
“ 渐 近 ?观点 ,有 着 广泛 的 适用 范围 。 详 细 内 容 可 参阅 文献 [1]。 概 率 多 项 式 时 间 算法 实质 上 
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是 指 有 随机 输入 、 并 在 其 输入 长 度 的 多 项 式 时间 内 一 定 有 输出 结果 的 算法 。 下 面 先 给 出 可 
忽略 函数 的 精确 描述 。 

定义 3.1( 可 忽略 函数 ) Kyun): NR, KRM Cn) JET MN, MRE RSA 
PC +) ,对 于 足够 大 的 n WE p(n) <1/p(m). 

定义 3.2( 计 算 不 可 区 分 ) 设 {X.} 和 {Y,} 是 两 个 概率 空间 , 称 它 们 是 (多 项 式 时 间 ) 计 


算 不 可 区 分 的 ,表示 为 {X,} A (Y, V 8 (X, ) o (Y, ,如果 对 任意 多 项 式 DC) ,任意 PPT 算 
法 也 及 所 有 辅助 输入 zE{0,1}22 5 ,满足 

| Pr (DCX, .1",z) = 1] — Pr [DQY, 1,22 = 1] |< 1/500 
定义 3. 2 是 说 ,不 存在 明显 可 区 分 概率 空间 {X,)} 和 {Y,} 的 PPT 算法 , 即 在 多 项 式 时 间 内 ， 
任何 PPT 区 分 算法 的 成 功 概率 总 是 可 忽略 的 。 

本 质 上 ,可 证 明 安 全 性 理论 与 方法 的 主要 研究 途径 是 规划 安全 方案 或 协议 的 形式 化 安 
全 模型 ,不同 的 安全 方案 或 协议 会 导致 不 同 的 安全 模型 ,而 这 些 安 全 模型 大 多 都 基于 一 些 很 
基本 的 密码 学 概念 。 因 此 ,对 一 些 最 基本 的 密码 学 概念 (如 加 密 、 签 名 及 其 安全 性 定义 等 ) 给 
予 精确 的 形式 化 定义 ,是 可 证 明 安 全 性 理论 与 方法 的 基础 组 成 部 分 ,有 助 于 消除 自然 语言 的 
语义 二 义 性 。 

定义 3.3( 数 字 签 名 方案 ) 一 个 数字 签名 方案 由 以 下 3 个 算法 组 成 。 

CL) 密 钥 生成 算法 K。 对 于 输入 1,K 产生 一 对 匹配 值 (kj ,k,) ,分 别称 为 公 钥 和 私 
HK 可 以 是 概率 算法 。k 称 为 安全 参数 , 密 钥 等 因素 的 规模 都 依赖 于 ko 

(2) EARE MEWE m AC, k) SPEER oS TEM RAL 

(3) 验证 算法 V。 给 定 签名 ao、 消息 m AAH kV Mike ETE m 的 对 应 公 钥 kj 的 
合法 签名 ,通常 情况 下 V 是 确定 性 算法 ,输出 1( 表 示 签 名 有 效 ) 或 0( 表 示 签 名 无 效 )。 

对 于 任 一 数字 签名 方案 (K,5,V) ,敌手 A 的 模型 如 下 。 

A 的 目标 有 以 下 3 个 : 揭示 签名 者 私 钥 ( 完 全 破译 ) ;构造 成 功率 高 的 伪 签 名 算法 (通用 
伪造 ) ;提供 一 个 新 的 消息 -签名 对 (存在 性 伪造 ) 。 

存在 性 伪造 一 般 并 不 危及 安全 ,因为 输出 消息 很 可 能 无 意义 ,但 这 样 的 方案 本 身 不 能 确 
保 签名 方 的 身份 ,如 不 能 用 来 确认 伪 随 机 元 素 ( 如 密 钥 ) ,也 不 能 用 来 支持 非 否认 。 

A 的 两 类 攻击 : 未 知 消息 攻击 和 已 知 消息 攻击 。 后 一 种 情况 中 最 强 的 攻击 是 “适应 性 
选择 消息 攻击 ”, 即 A 可 以 向 签名 方 询问 对 任何 消息 的 签名 (当然 不 能 询问 和 欲 伪 造 消息 的 签 
名 ,这 是 一 类 自明 的 约定 ,后 不 注 ) ,因而 可 能 根据 以 前 的 答复 适应 性 地 修改 随后 的 询问 。 

定义 3.4( 数 字 签 名 方案 的 抗 适应 性 选择 消息 攻击 安全 性 ) ”对 任 一 数字 签名 方案 (K， 
SOV) ,如 果 敌 手 A 的 攻击 成 功 概率 

Succ, = Pr [(k,.k,) <— K(1*), Go) <— A9 (k,) IVCk, mo) = 1] 
是 可 忽略 的 , 则 称 该 方案 能 够 抵抗 适应 性 选择 消息 攻击 。 这 里 A 可 以 获得 签名 OracleX, 
(实际 上 是 一 个 “ 黑 盒 ”) ,这 模拟 了 以 上 所 说 的 “适应 性 选择 消息 询问 ”。 
定义 3.5( 公 钥 加 密 方案 ) 一 个 公 钥 加 密 方案 由 以 下 3 个 算法 组 成 。 
OD 密 钥 生成 算法 K。 对 于 输入 1*,K 产生 一 对 匹配 值 (k, ,k,) ,分 别称 为 公 钥 和 私 
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钥 ,K 可 以 是 概率 算法 。 

(2) 加 密 算法 EE。 给 定 消息 m 和 公 钥 k, ,EE 产生 m 对 应 的 密 文 c<。E 可 以 是 概率 算法 ， 
这 时 记 为 E(k, ,m;r),r 表示 随机 输入 。 

(3) 解密 算法 D。 给 定 密 文 c 和 私 钥 k,,D 产生 c 对 应 的 明文 mw,D 一 般 是 确定 性 算法 。 

一 般 而 言 , 公 钥 加 密 方案 的 安全 目标 是 单 向 性 (One Wayness, OW) , 即 在 不 知道 私 钥 的 
情况 下 ,敌手 A 在 概率 空间 MXQ 上 成 功 地 对 EE 求 逆 的 概率 是 可 忽略 的 (这 里 M 是 消息 空 
间 ,Q 是 公 钥 加 密 方案 的 随机 掷 硬 币 空间 ), 亦 即 概率 

Succ, = Pr[ Ck, , k,) < K(1*):ACk, E(k, m;r)) =m] 
是 可 忽略 的 。 
然而 ,许多 应 用 要 求 更 强 的 安全 性 。 
定义 3.6( 多 项 式 安全 / 密 文 不 可 区 分 ) ”对 任 一 公 钥 加 密 方案 (K E DO ,如 果 满 足 
Adv, = 2 X Pr[ Ck, k,) <— K(1*), Gn, mi ss) — A, Ck, sc 
= ECk, my sr) AsGno mi s.c) = 06]—1 
是 可 忽略 的 , 则 称 该 方案 是 多 项 式 安全 的 或 密 文 不 可 区 分 的 ,这 里 敌手 A= CA LA) Jé— 
2 阶段 攻击 者 (都 是 PPT 算法 ) ,概率 取 于 (5,r) 之 上 。 

定义 3.6 形式 化 了 以 下 性 质 : 敌手 了 解 明 文 某 些 信息 (可 任 选 一 对 消息 ,其 中 一 个 被 加 
密 ), 但 它 不 能 从 密 文 得 到 除 明 文 长 度 之 外 的 任何 信息 。 

另 一 个 更 新 的 安全 概念 是 “ 非 延 伸 性 ”(Non-Malleability) , 即 敌 手 得 到 一 个 密 文 ,敌手 
不 能 或 以 可 忽略 概率 生成 一 个 新 的 密 文 使 得 两 个 明文 意义 相关 (如 DES 的 互补 明文 结构 )。 
该 概念 强 于 抗 选择 明文 攻击 的 多 项 式 安 全 性 ,但 和 抗 选择 密 文 攻击 的 多 项 式 安全 性 是 等 
价 的 。 

敌手 的 几 种 攻击 类 型 (相当 于 敌手 拥有 的 Oracle 数量 及 性 质 ) 如 下 。 

(1) CPA( 选 择 明文 攻击 ) ,该 攻击 在 公 钥 加 密 方案 中 显然 是 平凡 的 。 

(2) PCA( 明 文 校 验 攻击 ) ,敌手 获得 明文 校 验 Oracle, 用 以 回答 关于 任 一 输入 对 (Gm,c) 
是 否 是 对 应 明 密 文 对 的 询问 。 

(3) CCA( 选 择 密 文 攻 击 ) , 除 获 得 加 密 Oracle 外 ,敌手 还 获得 解密 Oracle, 即 对 于 任何 
询问 的 密 文 (除了 应 答 密 文 ) Oracle 都 给 予 相应 的 明文 作为 回答 。 这 是 最 强 的 攻击 (根据 
是 否 适应 性 选择 密 文 ,还 可 以 细 分 为 CCA1 和 CCA2) 。 

对 应 以 上 攻击 条 件 的 相应 安全 性 定义 , 均 可 用 类 似 于 定义 3.6 的 方法 给 出 ,区 别 仅 在 于 
敌手 获得 的 Oracle 数量 和 性质 不 一 样 。 对 称 密码 方案 的 安全 性 可 类 似 定义 。 


3.1.2 计算 假设 


许多 安全 概念 并 不 能 在 无 条 件 的 情况 下 得 到 保证 ,因此 ,安全 性 一 般 依赖 于 以 下 计算 假 
设 : 单 向 函数 的 存在 性 、 或 者 单 向 置换 的 存在 性 、 或 者 是 陷 门 单 向 函数 (置换 ) 的 存在 性 。 单 
向 函数 是 一 个 满足 以 下 条 件 的 函数 f: 任何 人 容易 计算 函数 值 ,但 是 给 定 y — GO RE x 
(或 y 的 任何 原 像 ) 在 计算 上 是 不 可 行 的 。 单 向 置换 是 一 个 双 射 的 单 向 函数 。 对 于 加 密 处 
理 来 说 ,希望 只 有 接收 者 才 可 以 求 逆 , 于 是 陷 门 单 向 置换 是 一 个 特殊 的 单 向 置换 ,其 秘密 信 
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给 定 计算 假设 “在 没有 陷 门 信息 的 情况 下 ,计算 函数 的 逆 是 不 可 行 的 ” ,希望 不 需要 额外 
的 假设 即 可 得 到 安全 性 。 形 式 上 证 明 这 一 事实 的 唯一 方法 是 证 明 “ 攻 击 安全 方案 或 协议 的 
敌手 可 以 用 于 构造 一 个 算法 ,该 算法 能 够 求解 基础 计算 假设 ”。 

在 计算 假设 之 间 存在 一 个 偏 序 关系 : 如 果 问 题 P. 比 问题 P' 更 困难 (P' 归 约 到 卫 ), 那 么 
问题 P 的 困难 性 假设 就 比 问题 P' 的 困难 性 假设 弱 。 所 需要 的 假设 越 弱 , 安 全 方案 或 协议 的 
安全 性 就 越 高 。 

目前 主要 使 用 以 下 两 类 计算 假设 。 

(1) 整数 分 解 与 RSA 问题 。 

(2) 离散 对 数 与 Diffie-Hellman 问题 。 第 一 个 使 用 的 群 是 2Z; 的 循环 子 群 ,现在 也 常常 
使 用 基于 椭圆 曲线 的 循环 子 群 。 


l. 整数 分 解 与 RSA 问题 

最 著名 的 困难 问题 是 整数 分 解 问题 , 即 把 两 个 素数 p 和 4 相 乘 得 到 nn 二 pg 是 容易 
的 ,而 把 合 数 n 分 解 为 素 因 子 p 和 g 则 不 是 一 件 容易 的 事情 。 目 前 ,最 有 效 的 整数 分 解 算法 
是 数 域 筛 法 (NFS)。 数 域 筛 法 是 超 多 项 式 的 、 亚 指数 算法 ,其 复杂 度 是 

OCexp((1. 923 + 0(1)) (In 22"? (In In n)?®)) 

该 方法 在 1999 年 8 月 创造 了 一 个 记录 , 它 把 一 个 155 位 的 整数 (512b) 分 解 为 两 个 78 位 的 
素数 之 积 。 所 分 解 的 数 称 为 RSA-155 ,来 自 于 “RSA 挑战 列表 ”, 用 于 衡量 RSA 密码 体制 的 
安全 性 ,该 体制 在 SSL 握手 协议 的 软件 和 硬件 实现 中 广泛 使 用 。 

整数 乘法 只 是 提供 了 一 个 单 向 函数 ,没有 任何 可 能 来 对 其 求 逆 。 现 在 不 知道 如 何 使 得 
整数 分 解 更 容易 一 些 。 但 是 ,有 一 些 代 数 结构 是 基于 整数 的 分 解 , 其 中 某 些 计 算 在 不 知道 
n 的 分 解 的 情况 下 是 困难 的 ,在 知道 n 的 分 解 的 情况 下 很 容易 。 如 对 有 限 环 Z,, 如果 n= 
轧 " 9q, 则 同 构 于 Zr XZ, 

例如 ,对 任何 元 素 rz, 计算 其 e 次 宕 是 容易 的 。 但 是 ,要 计算 。 次 根 ,看 起 来 需要 知道 满 
E ed— mod 9p(z) 的 整数 4。 这 里 pn) Æ Euler KAIF n=p + q 这 种 特殊 情形 ,p(z) 一 
(bp 一 1)(Cg 一 1)。 因 此 ,ed 一 1 是 p(n) 的 倍数 , 故 等 价 于 的 分 解 。 

1978 年 ,Rivest、Shamir 和 Adleman 定义 了 著名 的 RSA 问题 ,并 设计 了 首 个 公 钥 密码 
体制 一 一 RSA。 

RSA 问题 : UE n— p * q 是 两 个 相同 规模 的 大 素数 的 乘积 ,e 是 与 p(n) 互 素 的 整数 。 

对 给 定 的 y€ Z; ,计算 y 的 模 e 次 根 z, 即 满足 r= ymod n Hj rEZ? 。 

Ben = [|] pe, W Euler 函数 容易 用 下 式 计算 , 即 

pln) — nx nes) 

因此 ,利用 的 分 解 ( 陷 门 ),RSA 问题 很 容易 求解 。 但 是 没有 人 知道 是 否 必 须 利 用 ?的 分 


解 来 求解 RSA 问题 ,更 不 知道 如 何在 不 知道 的 分 解 的 情况 下 来 求解 RSA 问题 。 
RSA 假设 : 对 任何 两 个 足够 大 的 素数 的 乘积 一 p* qg RSA 问题 是 难 解 的 (可 能 与 分 解 
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寻 一 样 困 难 ) 。 
2. 离散 对 数 与 Diffie-Hellman 问题 
设 (G ,。) 表 示 一 个 阶 为 g 的 循环 群 ,其 中 4 是 素数 。 令 g 表示 的 一 个 生成 元 , 即 


了 一 二 8>。 与 离散 对 数 相关 的 困难 问题 ,以 简洁 的 形式 描述 如 下 : 

离散 对 数 (DL) 问 题 : WE y€ ^ ,计算 LEZ; ,使 得 y 二 g”, 记 为 x 二 log sy。 

it 8 Diffie-Hellman (CDH) [8] @: 对 于 任意 的 整数 a,5E Z] IE — ggg" d 
He”. 

判定 性 Diffie Hellman(DDED 问题 : 对 于 任意 的 整数 oa,b,cE Z; AE ggg HH 
定 是 否 有 c=abmod q 成 立 。 

上 述 问 题 显然 是 以 从 强 到 弱 的 顺序 进行 排列 的 , 即 DLZCDHZEDDH ,其 中 ADB 表示 
问题 A 至 少 与 问题 B 一 样 困难 。 然 而 ,在 实际 中 ,没有 人 知道 如 何 求解 其 中 的 任何 一 个 问 
题 ,除非 可 以 破解 DL 问题 本 身 。 而 且 , 这 些 问 题 都 是 随机 自 归 约 的 , 即 任何 实例 都 可 以 归 
约 到 一 个 均匀 分 布 的 实例 。 例 如 ,对 于 一 个 给 定 的 元 素 y, 想 要 计算 它 对 于 基底 g 的 离散 对 
数 工 。 可 以 选择 一 个 随机 的 EZ H Sty. IWA = 就 是 群 中 均匀 分 布 的 元 素 , 而 根据 
离散 对 数 a log sz 就 可 以 计算 出 z= 二 a/t。 因 此 ,它们 只 有 平均 复杂 情形 ,如 果 能 够 在 多 项 
式 时 间 内 求解 不 可 忽略 的 部 分 实例 ,那么 就 可 以 在 期 望 多 项 式 时 间 内 求解 任何 实例 。 

目前 ,求解 离散 对 数 问题 最 有 效 的 算法 依赖 于 其 基础 群 。 对 于 一 般 性 的 群 (没有 特定 的 
代数 性 质 可 以 应 用 ) ,算法 复杂 度 是 4 的 平方 根 。 但 是 ,对 于 2 的 子 群 ,存在 一 个 更 好 的 方 
法 。 最 好 的 算法 是 基于 数 域 上 的 得 法 ,正如 因子 分 解 问题 一 样 。 一 般 数 域 得 法 的 复杂 度 是 
超 多 项 式 且 亚 指数 的 : 

O(Cexp((1.923 十 o(1))(ln 22!^CIn In 轧 )203)) 

在 2001 年 4 月 ,该 算法 创造 了 一 个 最 新 纪录 , 它 对 120 位 的 素数 p 计算 出 了 Z; 中 的 离 
散 对 数 。 因 此 ,只 要 一 般 攻击 不 能 应 用 ,而 且 其 生成 元 的 阶 至 少 为 160b,512b 的 素数 仍然 
是 足够 安全 的 。 

对 于 签名 方案 只 要 求 群 的 离散 对 数 问题 困难 即 可 ,而 对 于 加 密 方案 需要 陷 门 ,因而 要 求 
群 中 的 某 些 DH 问题 也 是 难以 求解 的 。 


3.2 随机 预言 模型 方法 论 


20 世纪 80 年 代 初 ,Goldwasser、Micali 和 Rivest 等 人 首先 比较 系统 地 阐述 了 可 证 明 安 
全 性 这 一 思想 ,并 给 出 了 具有 可 证 明 安全 性 的 加 密 和 签名 方案 “3 。 但 不 幸 的 是 ,这 些 方案 
的 可 证 明 安 全 性 是 以 严重 牺牲 效率 为 代价 的 ,因此 这 些 方案 虽然 在 理论 上 具有 重要 意义 , 却 
完全 不 实用 ,这 种 情况 严重 制约 了 这 一 方向 的 发 展 。 直 到 20 世纪 90 年 代 中 期 出 现 了 “面向 
实际 的 可 证 明 安 全 性 (Practice-Oriented Provable-Security)” 概 念 , 特别 是 Bellare 和 
Rogaway 提出 了 著名 的 随机 预言 (Random Oracle. RO) 模 型 方法 论 钼 , 才 使 得 情况 大 为 改 
观 : 过 去 仅 作为 纯粹 理论 研究 的 可 证 明 安 全 性 理论 与 方法 ,迅速 在 实际 应 用 领域 取得 重大 
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进展 ,一 大 批 快 捷 ` 有 效 的 安全 方案 相继 提出 ;同时 还 产生 了 另 一 个 重要 概念 具体 安全 性 ” 
(Concrete Security or Exact Security) ,其 意义 在 于 ,人 们 不 再 仅仅 满足 于 知道 安全 性 的 渐 
近 度 量 ,而 是 可 以 确切 地 了 解 较 准确 的 安全 度量 。 面 向 实际 的 可 证 明 安 全 性 理论 与 方法 取 
得 了 巨大 的 成 功 ,已 为 学 术 界 广泛 接受 ;但 Canetti 和 Goldreich 等 对 此 持 有 异议 中 ,并 坚持 
仍 在 标准 模型 (Standard Model) 中 考虑 安全 性 。 

Canetti 和 Goldreich 认为 ,密码 方案 在 RO 模型 中 的 安全 性 和 通过 “Hash 函数 实现 ”的 
安全 性 之 间 无 必然 的 因果 关系 。 具 体 说 来 ,存在 这 样 的 实际 签名 方案 和 加 密 方 案 , 它 们 在 
RO 模型 中 是 安全 的 ,但 任何 具体 实现 都 是 不 安全 的 。 这 实际 上 是 提出 了 一 个 反例 。 不 过 
Goldreich 也 认为 ,应 该 明确 RO 模型 方法 论 并 不 能 作为 实际 方案 安全 的 绝对 证 据 , 但 该 方 
法 论 仍 是 有 意义 的 ,如 可 以 作为 一 种 基本 测试 ,任何 实际 方案 通过 这 种 安全 测试 是 必要 的 ， 
RO 模型 方法 论 至 少 可 以 排除 很 多 不 安全 设计 ,虽然 并 非 完备 的 ( 即 有 些 不 安全 设计 可 能 排 
VRAT. Canetti 则 进一步 指出 ,RO 模型 方法 论 虽 然 有 以 上 缺点 ,但 它 可 用 于 设计 简单 有 
效 的 协议 ,可 以 抵抗 许多 未 知 攻击 ;更 重要 的 是 ,其 基本 思想 可 以 用 来 设计 某 些 安全 的 理想 
系统 。 

Pointcheval 等 人 则 认为 中 ,目前 还 没有 人 能 提出 令 人 信服 的 关于 RO 模型 实际 合法 性 
的 反例 。 文 献 L5] 中 的 反例 仅仅 是 一 种 理论 上 的 反例 ,是 针对 实际 目的 的 “明显 错误 设计 ”， 
RO 模型 已 经 被 广泛 接受 ,并 被 认为 是 度量 实际 安全 级 别 的 一 种 很 好 的 手段 ;即使 并 未 提供 
一 个 正规 的 安全 性 证 明 ( 像 标准 模型 那样 ) ,但 在 其 “安全 性 论断 ”Hash 函数 没有 弱点 ) 下 ， 
RO 模型 中 的 证 明确 保 了 整个 方案 的 安全 性 。 更 正规 些 ,RO 模型 可 视 为 对 敌手 能 力 的 某 种 
限制 ,敌手 的 攻击 是 不 考虑 任何 特殊 Hash 函数 实例 的 一 般 攻击 ,而 且 如 果 假 定 存在 某 些 防 
串扰 设备 (如 Smart Cards) , 则 RO 模型 等 价 于 标准 模型 ,这 时 只 要 求 伪 随 机 函数 存在 。 
最 重要 的 是 , 仅 就 实现 效率 这 一 点 ,RO 模型 中 的 可 证 明 安 全 性 方案 就 远 远 优 于 那些 提供 标 
准 安全 性 证 明 的 安全 方案 , 即 仅 此 一 点 就 可 以 从 实际 应 用 中 排除 当前 所 有 “在 标准 模型 中 具 
有 可 证 明 安全 性 ”的 方案 。 事 实 上 一 些 有 代表 性 的 有 效 标准 解决 方案 ,如 文献 [2]、[3J 中 的 
方案 ,过 于 复杂 且 代 价 昂贵 , 归 约 的 复杂 性 使 得 难以 确定 实际 安全 参数 ,其 有 效 性 也 只 是 相 
对 过 去 的 标准 方案 而 言 。 

但 可 以 肯定 的 是 ,迄今 为 止 ,RO 模型 方法 论 是 可 证 明 安 全 性 理论 与 方法 最 成 功 的 实际 
应 用 ,其 现状 是 : 几乎 所 有 国际 安全 标准 体系 都 要 求 提供 至 少 在 RO 模型 中 可 证 明 的 安全 
性 设计 ,而 当前 可 证 明 安 全 性 的 方案 也 大 都 基于 RO 模型 。 


3.2.1 RO 模型 介绍 


文献 [4] 中 提出 以 下 观点 : 假定 各 方 共同 拥有 一 个 公开 的 RO, 就 在 密码 理论 和 应 用 之 
间架 起 了 一 座 “ 桥 梁 ”。 具 体 办 法 是 ,设计 一 个 协议 P 时 ,首先 在 RO 模型 (可 看 成 一 个 理想 
模拟 环境 ) 中 证 明 P* 的 正确 性 ,然后 在 实际 方案 中 用 “适当 选择 ”的 函数 h 取代 该 Oracle 
(潜在 论断 是 理想 模拟 环境 和 现实 环境 在 敌手 看 来 是 多 项 式 时 间 计 算 不 可 区 分 的 )。 一 般 来 
说 ,这 样 设计 出 来 的 协议 可 以 和 当前 协议 的 实现 效率 相当 。 

必须 指出 ,这 并 非 是 严格 意义 上 的 可 证 明 安 全 性 ,因为 安全 性 证 明 仅 在 RO 模型 中 成 
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立 , 随 后 的 “取代 ?过 程 本 质 上 是 一 种 推测 : RO 模型 中 的 安全 特性 可 以 在 标准 模型 中 得 以 
保持 。 

假设 提出 一 个 协议 问题 五 (这 个 问题 和 户 函 数 “独立 ”) ,要 设计 一 个 安全 协议 P 解决 该 
问题 ,可 按 以 下 步骤 执行 。 

COD Syr Il fe RO 模型 中 的 形式 定义 ,RO 模型 中 各 方 (包括 敌手 ) 共 享 随机 Oracle R, 

(2) 在 RO 模型 中 设计 一 个 解决 问题 卫 的 有 效 协议 P。 

(3) WEH P REI WEL. 

(4) 实际 应 用 中 用 函数 及 取代 RR。 

严格 来 讲 ,h 不 可 能 真 的 像 随 机 函数 : 首先 其 描述 较 短 ;其 次 ,所 谓 的 随机 Oracle BI 
Hash 函数 对 每 一 个 新 的 询问 产生 一 随机 值 作为 回答 (如 果 问 相同 的 询问 2 次 ,回答 仍 相 
同 ), 这 也 是 和 随机 函数 的 一 个 微小 区 别 。 但 这 并 未 改变 上 述 方法 论 的 成 功 ,因为 只 要 求 在 
敌手 看 来 像 随机 函数 。 此 外 ,h 函数 “独立 ”于 荆 也 是 至 关 重 要 的 (否则 可 能 不 安全 ,可 构造 
反例 ) 。 

一 般 来 说 ,函数 至 少 要 满足 以 下 基本 要 求 : 设计 上 足够 保守 ,能 够 抵抗 各 种 已 知 攻 
击 ;不 会 暴露 某 些 相关 数学 “结构 ”"。 文 献 [4] 指 出 ,选择 h 并 不 需要 太 麻 烦 , 一 个 适当 选择 
(但 并 不 需 过 分 茄 求 ) 的 Hash 函数 就 是 以 上 h 函数 的 一 个 很 好 选择 。 尽 管 SHA-1 本 身 不 
是 一 个 好 的 选择 ,但 只 需 截 短 其 输出 或 用 某 种 非 标准 方式 使 用 ,如 AKCz) 一 SHA-1Czz)。 

RO 方法 论 也 易于 推广 到 基于 对 称 密码 本 原 的 协议 /方案 研究 ,如 CBC-MAC ,虽然 没有 
Hash 函数 ,但 把 一 个 恰当 选择 的 分 组 密码 (如 AES) 视 为 随机 函数 。 


3.2.2 归 约 论断 和 具体 安全 性 


归 约 论断 是 可 证 明 安全 性 理论 的 最 基本 工具 或 推理 方法 ,简单 地 说 就 是 把 一 个 复杂 的 
协议 安全 性 问题 归结 为 某 一 个 或 几 个 难题 (如 大 整数 分 解 或 离散 对 数 等 )。 在 RO 模型 中 的 
归 约 论断 一 般 表 现 为 : 首先 形式 化 定义 方案 的 安全 性 ,假设 PPT 敌手 能 够 以 不 可 忽略 概率 
破坏 协议 安全 性 (如 伪造 签名 ) ;然后 模仿 者 S( 就 是 设计 者 或 分 析 者 ) 为 敌手 提供 一 个 与 实 
际 环境 不 可 区 分 的 模拟 环境 (RO 模型 ) ,回答 敌手 的 所 有 Oracle 询问 (模拟 敌手 能 得 到 的 所 
有 攻击 条 件 ); 最 后 利用 敌手 的 攻击 结果 (如 一 个 存在 性 伪造 签名 ) 设 法 解决 基础 难题 。 如 果 
把 RO 模型 换 成 现实 模型 ,就 得 到 标准 安全 性 证 明 。 

RO 归 约 论断 的 一 个 显著 优点 是 能 够 提供 具体 安全 性 结果 。 具 体 地 说 ,就 是 试图 显 式 
地 得 到 安全 性 的 数量 特征 ,这 一 过 程 称 为 “具体 安全 性 处 理 ”(Concrete or Exact Treatment 
of Security) ,与 前 面 提 到 的 “ 渐 近 ”观点 有 明显 区 别 。 其 处 理 结果 一 般 表述 为 以 下 形式 ( 举 
例 ):“ 如 果 DES( 本 原 ) 可 以 抵抗 这 样 条 件 的 攻击 , 即 敌 手 至 多 获得 2 个 明 密 文 对 ,那么 该 
协议 可 以 抵抗 一 个 能 执行 :+ 步 操作 的 敌手 发 动 的 攻击 ,t 值 如 下 …… 。” 这 样 ,协议 设计 者 就 
能 够 确切 地 知道 具体 获得 了 多 少 安全 保证 ,不 必 再 笼统 地 说 协议 是 否 安全 。 

例 3.1 文献 [8] 中 研究 了 CBC-MAC 的 安全 特征 ,结论 是 : 对 任意 一 个 运行 时 间 至 多 
为 大 至 多 见 过 4 个 正确 MAC 值 的 敌手 ,成 功 模仿 一 个 新 消息 的 MAC 值 的 概率 至 多 为 e 十 
Gg! n! +) /2 XH] 是 基础 密码 的 分 组 长 度 ,n 是 明文 消息 总 数 ,e 是 检测 到 密码 偏离 随机 
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行为 的 概率 (在 O(Czg2) 时 间 内 ) 。 

具体 安全 性 处 理 的 一 个 重要 目标 就 是 ,在 把 一 个 基础 极 微 本 原 转化 成 相应 协议 时 , 尽 可 
能 多 地 保持 极 微 本 原 的 强度 。 这 表现 为 要 求 “ 紧 ”的 归 约 方法 ,因为 一 个 “ 松 ” 的 归 约 意味 着 
要 求 采用 更 长 的 安全 参数 ,从 而 降低 了 效率 。 


3.2.8 RO 模型 下 安全 的 公 钥 加 密 和 数字 签名 方案 


l. Am BAR 

3.1 节 中 的 公 钥 加 密 方案 的 概念 可 直接 推广 到 RO 模型 中 ,从 而 得 到 RO 模型 中 的 公 
钥 加 密 方案 的 定义 。 公 钥 加 密 方案 可 通过 PPT 生成 器 g ME: 以 安全 参数 1* 为 输入 , 输 
出 一 对 概率 算法 CE, D) ,分 别称 为 加 密 算法 和 解密 算法 ,D 保密 ,运行 时 间 以 g 的 运行 时 间 
为 界 。 加 密 过 程 为 : yE? (x) ;解密 过 程 为 : rD (y). 

像 定义 3.6 一样 , 称 g TE RO 模型 中 是 CPA 多 项 式 安 全 的 ,如 果 对 任意 的 选择 明文 敌 
CIA ,满足 

Pr [R < 27 ; (E,D) < g(1*); (mp m) < F®(E) 3b < (0,1) 

a < EF n) : ACE mo «mi sa) = b] < 1/24- pln) 
这 里 ,R 表示 一 般 的 Oracle, 是 从 {0,1)" 到 {0,1 和 六 的 函数 ,2 表示 所 有 Oracle 的 集合 , “oo” 
并 非 真 的 无 限 ,只 是 避免 提问 “足够 长 是 多 长 ”这 类 问题 ,u(n) 是 可 忽略 函数 。 

CCA 安全 性 : 这 里 的 敌手 A KH RS 敌手 , 即 有 非 一 致 多 项 式 算 法 A 二 (F,Al), 各 自 
获得 一 个 Oracle R 及 一 个 解密 Oracle 的 黑 盒 实现 D8;F 的 任务 就 是 提出 一 对 明文 mo ,mm ， 
Ay 被 随机 给 予 其 中 一 个 的 密 文 a, 则 只 要 不 允许 向 解密 Oracle D? 询问 a( 因 为 禁止 提出 和 
最 终 论断 等 价 的 询问 ) , Al 就 不 可 能 以 不 可 忽略 优势 猜 中 是 哪 一 个 明文 。 

Tk g 在 RO 模型 中 抗 CCA 攻击 是 安全 的 ,如 果 对 任意 RS 敌手 (F,A ) ,满足 

Pr [R < 27 ;(E,D) < g(1*); On, mi) < FE" (E) 36 < (0,1) 
a< E* (m) , AFP (Em, m, sa) = b] < 1/2 + p(n) 

Bellare 等 在 文献 [4] 中 提出 了 一 个 在 RO 模型 中 抗 CCA 攻击 是 安全 的 方案 ,由 于 归 约 
并 不 “ 紧 ”, 应 用 意义 并 不 大 ,但 其 设计 思想 很 能 体现 RO 方法 论 的 特点 。Bellare 等 把 该 思 
想 作 了 进一步 改进 ,在 1994 年 提出 了 著名 的 公 钥 加 密 方案 OAEPI ,可 证 明 该 方案 抗 
CCA2 攻击 是 安全 的 ,目前 已 成 为 新 一 代 RSA 加 密 标准 。 基 本 组 成 如 下 : 核心 组 件 是 一 个 
Padding 函数 , 即 OAEP*" (x7) =2 OG) | | r@H(@OG(r)) ,这 里 z 是 被 加 密 消 息 ,> 是 
随机 输入 ;加 密 算法 为 E*"(z) 二 A(OAEP "(zx,r)), 这 里 f 是 陷 门 置换 (如 RSA 函数 )。 
基本 设想 是 构造 一 个 具有 和 良好 随机 性 的 “遮掩 函数 ”隐蔽 明文 的 统计 特性 。 


2. 数字 签名 方案 

Bellare 等 在 文献 [4] 中 也 给 出 了 一 种 具有 可 证 明 安全 性 的 签名 方案 ,该 签名 方案 要 求 
陷 门 置换 f 具有 “均匀 分 布 " 特 点 ,而 标准 RSA 置换 不 具有 这 个 性 质 , 因 此 基于 RSA 无 法 设 
计 该 类 方案 。 文 献 [10] 中 提出 了 一 个 基于 RSA 的 签名 方案 ,该 签名 方案 引入 了 概率 机 制 ， 
有 更 好 的 安全 界 。 该 方案 不 仅 可 证 明 其 安全 性 ,而 且 相 应 的 归 约 是 很 “ 紧 ” 的 ,一 个 敌手 伪造 
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签名 的 能 力 和 对 RSA 求 逆 的 能 力 相当 ,总 之 安全 性 和 分 解 整数 的 困难 性 紧密 相关 。 稍 作 改 
进 , 也 可 以 具有 消息 恢复 功能 。 

目前 其 他 可 证 明 安全 性 的 签名 方案 大 都 是 基于 识别 协议 的 签名 方案 。 例 如 , Fiat 和 
Shamir 曾 应 用 RO 假设 构造 了 一 个 安全 性 和 分 解 因子 一 样 困 难 的 签名 方案 中 ,并 证 明了 其 
与 识别 协议 的 等 价 性 。 文 献 [11] 对 基于 Fiat-Shamir 识别 协议 的 签名 方案 中 作 了 具体 安全 
性 分 析 , 通 过 交换 应 答 和 承诺 的 顺序 改进 设计 了 一 类 新 的 Fiat-Shamir 类 型 签名 方案 
(E-swap 签名 方案 ) ,具有 更 好 的 具体 安全 性 。 

其 他 一 些 进 展 可 参见 文献 [12]~[14] 等 。 文 献 [14] 基 于 计算 Diffie-Hellman(CDH) 假 
设 ,对 一 个 源 于 Schnorr 签名 的 改进 方案 EDL 给 出 了 归 约 很 “ 紧 ” 的 安全 性 证 明 ,使 得 该 签 
名 方案 得 到 了 业界 的 广泛 重视 。 另 外 值得 特别 说 明 的 是 ,文献 [12] 对 于 完善 RO 模型 方法 
论 具 有 重大 贡献 , 即 提出 了 以 Folklore 引 理 为 代表 的 一 般 性 安全 论断 ,主要 适用 于 许多 基 
于 识别 协议 的 签名 方案 ,特别 是 证 明了 迄今 为 止 唯一 一 个 ElGamal 变形 签名 方案 MEG 的 
安全 性 。Folklore 引 理 的 基本 思想 是 Oracle 重 放 (Replay) 攻 击 , 即 在 RO 模型 中 实施 归 约 
化 证 明 时 , 重 放 多 项 式 不 同 (但 有 一 定 联系 ) 的 随机 Oracles( 这 相当 于 为 敌手 提供 多 个 模拟 
环境 ) ,如 果 敌 手 能 以 不 可 忽略 的 概率 伪造 多 个 签名 ,就 可 以 求解 该 方案 的 基础 困难 问题 ,如 
离散 对 数 问题 。 该 方法 的 缺点 是 所 得 到 的 归 约 不 够 “ 紧 ”。 

这 里 主要 介绍 Bellare 和 Rogaway 于 1996 年 提出 的 RSA-FDH 签名 方案 "9 ,该 方案 的 
基本 思想 是 结合 RSA 假设 并 基于 经 典 的 全 域 杂 次 (Full-Domain Hash) 签 名 方法 论 。 该 方 
案由 以 下 3 个 算法 组 成 。 

COD 密 钥 生成 算法 : 输入 1* ,该 算法 随机 选择 两 个 k/2b 的 素数 p 和 gq, 计算 n 二 p +a; 
随机 选择 eE Zou) 并 计算 d 使 得 ed 二 1 mod y(n). 

用 户 的 公 钥 为 (e,z) NBI (dn), VE H (0,1) >Z; 是 一 个 抗 碰撞 的 Hash 函数 。 

(2) 签名 算法 : 给 定 消息 m 和 私 钥 (d,n) ,该 算法 计算 并 输出 签名 =H) mod n, 

(3) 验证 算法 : 给 定 签名 o、 消 息 m FIBI (e.n) ,该 算法 检验 o — H Gn) mod n, 如 果 成 
Xr ,输出 1( 签 名 有 效 ) ,否则 输出 0( 签 名 无 效 ) 。 

为 了 证 明 RSA-FDH 的 安全 性 ,下 面 给 出 RSA 问题 的 定量 描述 。 

对 于 所 有 的 kE11 ,如 果 一 个 求 逆 算法 I 可 以 在 i(k) 时 间 内 以 e(k) 的 成 功 概率 破解 
RSA 问题 , 则 称 算法 TI 可 (t,e) 破 解 RSA 问题 。 

如 果 任 何 求 逆 算 法 都 不 能 (1,e) 破 解 RSA 问题 , 则 称 RSA 是 (t,e) 安 全 的 。 

定理 3.1 假设 RSA 问题 是 (x ,e) 安 全 的 , 则 RSA-FDH 签名 方案 是 (1,e) 安 全 的 ， 
其 中 

t = t' — (qr + qie +1) + OCk?) 
1 


e= dao 43 y *QGs* E 
(! Ex 
式 中 ,qse 表 示 签 名 询问 的 次 数 ;q 表示 随机 预言 询问 的 次 数 。 当 gs 较 大 时 ,有 


e ~ exp(1) + qa * & 
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证 明 假设 伪造 者 大 经 过 qss 次 签名 询问 和 q 次 随机 预言 询问 ,可 以 (t,e) 攻 破 RSA- 
FDH 签名 方案 。 下 面 构造 一 个 求 逆 算 法 工 可 以 (t ,e ) 破 解 RSA 困难 问题 。 

假设 给 定 了 实例 y, 挑 战 者 要 找到 满足 =y mod n 的 +。 注 意 到 ,在 随机 预言 模型 方 
法 论 中 ,伪造 者 大 不 能 自己 计算 Hash 值 ,他 只 能 通过 Oracle 询问 来 得 到 消息 的 Hash 值 。 

算法 I 设置 用 户 的 公 钥 为 (n,e) ,以 此 来 运行 算法 下 。 攻击 者 下 需要 访问 签名 Oracle 和 
随机 Oracle, T AE A D AH Oracle。 为 了 简单 起 见 , 当 三 询问 一 个 消息 的 签名 时 , 假 
定 其 已 经 对 该 消息 进行 了 相应 的 Hash 询问 。 如 果 没 有 , 工 自己 进行 Hash 询问 。Z 使 用 一 
个 计数 器 i, 初 始 化 为 0。 

算法 T 按 照 以 下 方式 来 回答 伪造 者 天 对 消息 m; 的 Oracle 询问 : 

当下 对 消息 m 进行 Hash Oracle 询问 时 , 工 把 计数 器 ;增加 1, 令 m; =m, 3f BR ELE FE 
r,€ Z; TREER p 返回 h; 二 rf mod n, 依 概率 1 一 p iR [El h; — yri mod n, XE p 是 一 个 固定 
的 概率 ,其 值 将 在 后 面 确定 。 

当天 对 消息 m 进行 签名 询问 时 , 它 已 经 对 m 进行 了 Hash 询问 ,于 是 m 等 于 某 个 mi。 
如 果 h;— ri mod n, 则 I 返回 r: 作为 签名 。 由 于 hmi) 二 hi 二 rf mod n, 显 然 ri 就 是 m; 的 有 
效 签名 。 否 则 ,算法 中 止 , 求 逆 算 法 失败 。 

最 终 , 算 法 下 中 止 并 输出 一 个 伪造 (m,o)。 假 设 下 之 前 已 经 对 m 进行 了 Hash 询问 。 如 
RA TA COMET Hash 询问 。 无 论 何 种 情况 ,存在 某 个 i (Emm, WA WMR hi = 
yr; mod n, WA o=h? mod n= y'r; mod 2, 于 是 工 输出 

zr = y! mod n = ø/r; mod n 
作为 y KB. HF y= mod nox 即 为 所 求 。 否 则 ,算法 中 止 ,T 失 败 。 

算法 I 能 够 回答 所 有 的 签名 询问 的 概率 至 少 为 pr ,然后 I 输出 y 的 逆 的 概率 为 1 一 p。 
BEA Z BD VERE ap) = p'« * (01 — p) fit. y BOXE. 容易 看 出 , 当 p 取 pmwx 王 1 一 1/(gqsg 十 
1) 时 ,a(p) 取 最 大 值 ,并 且 


+ 


co = Le gt)" 


从 而 ,有 


e(k) 一 1 
(aa) 
而 当 qse 较 大 时 ,有 e~exp(1) * quu * e'o 
算法 工 的 运行 时 间 等 于 算法 大 的 运行 时 间 加 上 计算 h; 所 需要 的 时 间 , 于 是 得 到 时 间 上 
的 公式 。 
注意 到 FDH 类 型 的 签名 方案 是 确定 性 的 签名 方案 ,每 一 个 消息 都 有 唯一 的 签名 ,所 以 
在 其 安全 性 证 明 中 ,一 个 模拟 器 要 么 能 够 产生 消息 的 签名 ,要 么 就 不 能 产生 其 签名 ,这 在 一 
定 程度 上 限制 了 安全 性 归 约 。 这 一 发 现 推动 了 概率 签名 方法 的 设计 思想 ,如 PSS 签名 方法 
和 PFDH 签名 方法 ,其 中 每 一 个 消息 都 有 多 个 签名 。 
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3.3 标准 模型 下 安全 的 数字 签名 和 公 钥 加 密 方案 


文献 [23]`[3] 是 满足 标准 安全 性 证 明 的 早期 具有 代表 性 的 方案 ,实际 上 前 面 结果 已 经 包 
含 了 许多 这 方面 的 内 容 ,如 一 些 基本 概念 等 ,这 里 简要 介绍 一 些 近年 来 的 结果 。 


3.3.1 数字 签名 方案 


文献 [15] 研 究 了 数字 签名 方案 中 的 Hash 函数 设计 应 用 问题 ,降低 了 对 Hash 函数 的 要 
求 ;文献 [16] 提 出 了 一 类 基于 强 RSA 假设 的 数字 签名 方案 。 其 共同 之 处 是 都 不 把 Hash K 
数 形式 化 为 RO。 文 献 [16] 的 安全 性 证 明 实 际 上 是 用 满足 强 计 算 假 设 的 Hash 函数 取代 
T RO. 


l. 基于 padding HHH RSA 签名 方案 

克服 RSA 签名 方案 同 态 缺陷 的 一 种 通用 解决 方案 就 是 先 对 消息 应 用 padding 函数 作 
用 ,然后 对 结果 作 解 密 运 算 ( 签 名 ) 。 文 献 [15] 中 的 主要 结果 是 : 基于 padding 函数 对 一 组 
消息 的 RSA 签名 与 对 多 个 分 组 消息 的 RSA 签名 的 安全 性 等 价 。 而 且 这 里 并 不 要 求 Hash 
函数 为 RO 或 具有 自由 碰撞 性 质 ,只 是 假设 存在 某 个 安全 的 .用 于 签署 固定 长 度 消息 的 
padding 函数 y; 利 用 它 就 可 以 构造 一 个 用 于 签署 任意 长 度 消息 的 安全 padding 方案 。 但 该 
文 在 一 般 标 准 安全 论断 研究 方面 并 未 有 多 少 进展 。 


2. 没有 随机 Oracle 的 安全 签名 方案 

文献 [16] 基 于 强 RSA 假设 ( 即 对 任意 的 RSA Bi n.s€ Z; ,要 在 多 项 式 时 间 内 找到 一 个 
WE 7^ — smod n 的 二 元 组 (e,r)(e 之 1) 是 不 可 能 的 ) 提 出 了 一 种 抵抗 适应 性 选择 消息 攻击 的 
签名 方案 , 仍 属 Hash-and-Sign 结构 。 密 钥 和 参数 说 明 类 似 于 RSA ,注意 公 钥 为 n 二 pq,sE€E 
Zi 。 签 名 算法 本 身 很 简单 : e= OR IND ,签名 是 * Bin We 次 根 ;验证 算法 略 。 

在 安全 性 论断 研究 方面 ,文献 L[16] 不 再 把 Hash 函数 视 为 RO ,而 是 把 Hash 函数 视 为 
具有 某 些 特定 性 质 ( 如 整除 难处 理性 等 ) 的 随机 函数 CR «MD ,这 里 R 是 随机 因素 。 其 特别 
之 处 在 于 : 既 充分 利用 RO 安全 论断 的 优点 ,又 用 一 个 假想 的 随机 性 Oracle 取代 RO, BIEL 
设 已 知 h 的 随机 输入 因素 也 对 解决 强 RSA 难题 毫 无 帮助 。 文 献 [16] 希 望 这 种 “相对 模型 方 
法 论 ? 能 够 替代 RO 方法 论 ,但 显然 其 假设 过 强 ( 虽 然 文 献 L[16] 认 为 仍 是 现实 的 ) , 归 约 也 不 
“ 紧 ”, 更 重要 的 是 目前 看 不 到 有 推广 应 用 的 可 能 ,文献 [16] 也 承认 这 一 点 。 


3.3.2 公 角 加密 方案 


Cramer 和 Shoup''” 于 1998 年 提出 了 第 一 个 比较 实际 的 标准 模型 下 可 证 明 安全 性 的 公 
钥 加 密 方案 ,该 方案 的 困难 假设 是 判定 性 Diffie-Hellman 问题 。 由 于 其 安全 性 归 约 是 在 标 
准 的 Hash 函数 假设 ( 抗 碰撞 ) 下 得 到 的 ,并 不 依赖 于 随机 预言 模型 ,所 以 受到 了 很 大 的 
关注 。 

设 G 是 有 限 域 Z; 的 阶 为 4 的 子 群 ,p 和 4g 为 素数 ,上 且 gp 一 1,g1 和 gs 是 G 中 两 个 随 


We RERK—_BKSTR 


机 的 非 单位 元 元 素 。 设 r= Gn sr) y= Qn yz Gi zed ARLE 0 Al q— 1 之 间 的 整数 
Xl sg— ngu Qa ui) GRIS G 中 的 元 素 对 ;r 是 1 和 9 一 1 之 间 的 随机 整数 , 记 e" = 
Ce gig" — Gai g7). Bit H AN GAH Hash 函数 。 
COD 密 钥 生 成 算法 : 随机 选取 m € Gun my omm EZ, HH 
c=g, dsg, hsg 
用 户 A 的 私 钥 为 (zi ,zz ,yy moz AH (m gs sed h HD. 
(2) 加 密 算法 : 为 了 发 送 消息 mE G, 选 择 一 个 随机 数 rS 


u gi uj =g}, e—hm, 


然后 计算 
a = HG, suse), v= cd" 
密 文 就 是 四 元 组 (ui ,us ev) 。 

(3) 解密 算法 : 要 解密 (zw ,ws,e,v) ,用 户 A KAHH a= H Ga ,wz se) ,然后 利用 他 的 私 
钥 计 算 unt ,并 验证 这 个 结果 是 否 等 于 uA utt Het 二 c'd")。 如 果 它 不 等 于 wv, 拒 
绝 该 消息 ;如 果 通 过 这 个 检验 , 则 继续 进行 解密 : B e BRU ww —g7 —h Til e=h'm, 
所 以 这 就 是 明文 m。 

对 于 Cramer-Shoup 公 钥 加 密 方案 ,如 果 存 在 一 个 适应 性 选择 密 文 攻击 的 敌手 4 能 够 破 
坏 其 语义 安全 性 ,那么 就 可 以 构造 一 个 算法 8 来 求解 判定 性 Diffie-Hellman 问题 , 即 判断 一 
个 四 元 组 (gi ,gs ,ia ,ws) 是 否 满足 Diffie-Hellman 性 质 log, wu; —log, ue. 

定理 3.2 如果 判定 性 Diffie-Hellman 问题 是 难 解 的 ,那么 Cramer-Shoup 公 钥 加 密 方 
案 在 适应 性 选择 密 文 攻击 下 是 语义 安全 的 。 

TEAR 假设 给 定 一 个 四 元 组 (gi s go ,wu ,xz )。 首 先 算法 如 随机 选取 z,y,z, 令 

c=g, d=g, h= g 
FHL Gd JO VAR g— Gn s ) 作 为 公 钥 发 送 给 .4。 

8 需要 回答 A 的 解密 询问 ,为 了 回答 对 (wi us e ,v) 的 询问 ,B 计 算 a =H Cui sui eO 
如 果 v' 隆 (uw), 则 拒绝 该 消息 ,否则 解密 w / Cu )* 返回 给 A。 

当 敌 手 .4 输 出 两 个 明文 m Am 用 于 区 分 测试 时 ,8 随机 选择 DE {0,1} ,设置 密 文 为 
y' — Gn su eo) ,其 中 

e=um, v-—u"*",. 而 a = HGiui.e 

敌手 A 需要 判断 y* 是 m 还 是 mo 的 加 密 。 

WEE Ce. ,gz ,i ,us) 满 足 Diffie Hellman 性 质 ,那么 y* 就 是 m, 的 真实 加 密 , 其 中 > 一 
log „ tu Slog ,, u: 就 是 加 密 所 用 的 随机 数 ,所 以 敌手 A 将 以 明显 大 于 1/2 的 概率 正确 地 猜 
测 到 5 值 。 

MFR Cei ,gs ta ,ws) 不 满足 Diffie-Hellman 性 质 , 那 么 A 所 看 到 的 信息 与 5 是 无 关 的 ,所 
以 他 只 能 有 1/2 的 机 会 猜测 到 65 值 。 因 此 ,通过 使 用 不 同 的 zx,y,z 值 多 次 运行 这 个 模拟 攻 
击 , 如 果 .4 大 多 数 情况 下 都 能 正确 地 猜测 到 2 值 ,5 就 确定 (gi, go. t s u) Wi Æ Diffie- 
Hellman 性 质 。 利 用 下 面 两 个 引 理 可 完成 归 约 证 明 。 


d 
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引 理 3.1 如 果 算法 B 的 输入 是 Diffie-Hellman 四 元 组 ,那么 敌手 的 视图 (View, 也 称 观 
察 ) 与 比特 6 的 联合 分 布 与 实际 攻击 中 的 分 布 是 不 可 区 分 的 。 

证 明 Cgi go ,wi ,ws) 是 一 个 Diffie-Hellman 四 元 组 ,考虑 敌手 的 视图 与 比特 5 的 联 
ADi. Bu giu gi. 

在 这 种 情况 下 ,显然 加 密 Oracle 的 输出 分 布 是 正确 的 。 为 了 完成 证 明 , 需 要 论证 解密 
Oracle 的 分 布 也 是 正确 的 。 如 果 log |, ui —log,, zx Bl f Cui ,us se^ uv) 是 一 个 有 效 的 密 文 。 

注意 到 ,如 果 密 文 是 有 效 的 ,而 us = et sui = ai MEA he = Qu (us)* ,因此 ,解密 
Oracle 输出 e/h”, 这 正 是 所 期 望 的。 根据 下 面 的 断言 , 即 可 证 得 引 理 3. 1. 

断言 : 对 密码 体制 的 实际 攻击 和 对 模拟 情况 下 的 攻击 ,除了 可 忽略 的 概率 之 外 ,解密 


Oracle 都 拒绝 所 有 无 效 的 密 文 。 
下 面 证 明 断 言 。 根 据 敌 手 的 视图 ,考虑 四 元 组 PP 一 (zz,y,y)E2Z: 的 分 布 。 设 
w=log 4,820 
根据 敌手 的 视图 ,P 是 下 面 两 个 超 平面 相交 的 平面 P 上 的 一 个 随机 点 : 
log mc 一 Zi 十 zzz (3-1) 
log „d = yi d wy: (3-2) 
这 两 个 方程 容易 由 公 钥 推出 。 加 密 Oracle 的 输出 并 没有 对 PP 作 进一步 限制 ,因为 
log , v = rzi + wrx; t aryi t arwy: (3-3) 


假设 敌手 提交 了 一 个 无 效 的 密 文 (u1 us ,ev) 给 解密 Oracle, 其 中 log u= rs 
log ,, u; —wr;Jf B. ri 闫 rt。 解 密 Oracle 将 会 拒绝 该 密 文 ,除非 了 恰好 位 于 式 (3-4) 定 义 的 
HPH HEB 


log „v = ria + wrrr tariy Har, wy, (3-4) 
HP ad SHC ,us ,w )。 注 意 到 式 (3-1) . 式 (3-2) 和 式 (3-4) 是 线性 无 关 的 , 互 与 P 相交 于 
一 条 直线 。 

对 于 第 一 次 提交 的 无 效 密 文 ,解密 Oracle 将 以 1— 1/q 的 概率 拒绝 该 密 文 ,对 于 第 i 次 
提交 的 无 效 密 文 ,解密 Oracle 将 至 少 以 1 一 1/(g 一 i 二 1) 的 概率 拒绝 该 密 文 。 因 此 ,除了 可 
忽略 的 概率 ,解密 Oracle 将 拒绝 所 有 的 无 效 密 文 。 

引 理 3.2 ”如果 算法 8 的 输入 是 一 个 随机 的 四 元 组 ,那么 比特 5 的 分 布 与 敌手 的 视图 是 
无 关 的 。 

Ku Sgi us — gi" ,而 且 不 妨 假设 An ,因为 二 者 相等 的 概率 是 可 忽略 的 。 根 据 下 
面 的 两 个 断言 ,可 证 得 引 理 3. 2。 

断言 1: 如 果 解 密 Oracle 拒绝 所 有 的 无 效 密 文 ,那么 比特 b 的 分 布 与 敌手 的 视图 是 无 
关 的 。 

为 了 证 明 这 一 断言 ,考虑 点 Q 二 (x ,zxs)。 在 攻击 开始 时 ,这 是 位 于 由 公 钥 确定 的 直线 

log ah = +wz (3-5) 
上 的 一 个 随机 点 。 如 果 解 密 Oracle 只 对 有 效 的 密 文 (ui ,us ,e',v) 进 行 解密 , 则 敌手 得 到 的 
只 是 线性 无 关 的 关系 ~log 而 h=r'z, +r'wz. ,不 会 泄露 Q 的 信息 。 
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下 面 分 析 加 密 Oracle 输出 的 (wu su; es). A e—em ,其 中 e—upup. SREB 
log ae = rizi + wrz;z; (3-6) 
显然 , 式 (3-5) 和 式 (3-6) 是 线性 无 关 的 ,于 是 ,相对 于 5 以 及 除了 e 之 外 的 敌手 的 视图 ,e 是 
均匀 分 布 的 。 换 言 之 ,e 是 一 个 完善 的 一 次 一 密 。 因 此 4 与 敌手 的 视图 是 无 关 的 。 

断言 2: 除了 可 忽略 的 概率 ,解密 Oracle 拒绝 所 有 的 无 效 密 文 。 

为 了 证 明 断 言 2, 与 引 理 3. 1 一样 ,在 敌手 视图 的 条 件 下 考虑 P= say y) k 
布 。 根 据 敌 手 的 视图 ,这 是 位 于 超 平面 方程 (3-1)、(3-2) 和 下 面 的 超 平面 交叉 的 直线 上 的 
一 个 随机 点 : 

log at = rixi c wrizi ct ariyi Harzwyz (3-7) 
方程 (3-7) 来 自 于 解密 Oracle 的 输出 。 

假设 敌手 提交 了 一 个 无 效 密 文 (wi su; ye v 0E Cu us e ,其 中 

log,u^-— ri. log,us— r2, rir. 
dto =H (ui uie. 

考虑 下 面 3 种 情况 。 

情况 1: Qui ue) Qu suse), 

在 这 种 情况 下 , Hash 值 是 相同 的 ,但 是 v' Av. Jr LUCR Oracle 当然 会 拒绝 它 。 

情况 2: Qui sus se 2E Cui sue) sa Fao 

除非 点 P 位 于 方程 (3-4) 定 义 的 超 平面 H, 解 密 Oracle 将 拒绝 。 但 是 ,方程 (3-1)、 
(3-2)、(3-4) 和 (3-7) 是 线性 无 关 的 ,这 可 以 通过 下 面 式 子 进行 验证 

1 w 0 0 
det M wn —n)(r—ri)(a — a) #0 


T, Wr, ar, ar; 


ry wr, ari awr, 
因此 , 互 与 直线 工 相交 于 一 点 ,由 此 可 知 解密 Oracle 拒绝 ,除了 可 忽略 的 概率 之 外 。 
情况 3: Cut sus e DE Cus sus +e) sa! =a. 
这 一 情况 发 生 的 概率 是 可 忽略 的 ,否则 与 Hash 函数 的 抗 碰撞 性 质 矛 盾 。 


3.4 面向 会 话 密 钥 分 配 协议 的 安全 模型 及 其 应 用 


通信 双方 在 充满 敌意 的 环境 中 传送 数据 ,一 般 需要 确保 数据 的 机 密 性 和 可 认证 性 。 要 
达到 此 目的 ,必须 加 密 和 认证 被 传送 的 数据 ,这 就 需要 密 钥 ,而 密 钥 通常 需要 通过 会 话 密 钥 
分 配 (SKD) 协 议 来 实现 。 当 前 最 常见 的 是 3 方 SKD 协议 (可 信 方 参与 ) ,因此 下 文 的 论述 以 
此 为 重点 。 

最 早 、 最 流行 的 3 方 密 钥 分 配 系统 是 1978 年 提出 的 NS 系统 "5 ,并 且 有 许多 具体 候选 
方案 。 之 后 的 数 年 ,又 有 10 多 个 SKD 协议 出 现 。 但 不 幸 的 是 ,似乎 所 有 这 些 工作 都 存在 这 
样 的 “怪圈 ”: 提出 一 个 协议 ;然后 是 不 断 地 试图 破译 :不断 地 修补 。 实 际 上 Needham 和 
Schroeder 在 一 开始 就 提出 了 警告 : 这 样 开发 的 协议 容易 有 微妙 的 弱点 , 且 不 易 在 正常 操作 
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中 检测 到 ,很 有 必要 研究 验证 协议 正确 性 的 技术 。 作 为 对 这 种 警告 的 证 实 ,文献 [19] 指 出 了 
一 种 NS 协议 的 bug, 许 多 相关 协议 都 有 类 似 的 缺陷 。 如 此 漫长 的 攻击 历史 使 得 人 们 终于 
达成 这 样 的 共识 : 要 解决 会 话 密 钥 分 配 问题 ,仅仅 由 作者 给 出 一 个 协议 .并 且 作者 本 人 找 不 
到 可 行 的 攻击 手段 是 远 远 不 够 的 。 

Burrows, Abadi 和 Needham'” 试 图 通过 使 用 特定 目的 的 逻辑 来 解决 这 个 问题 , 即 著名 
的 BAN 逻辑 ,相关 研究 目前 仍 在 继续 ,相关 理论 与 方法 将 在 下 一 章 介 绍 。 形 式 化 逻辑 方法 
在 寻找 bug 方面 很 有 成 效 , 且 有 些 方 法 可 以 自动 化 ;但 问题 在 于 ,一 旦 抽象 的 密码 运算 实例 
化 ,“ 逻 辑 正确 ”的 证 明 并 不 意味 着 协议 本 身 必然 是 正确 的 ,也 就 是 说 ,缺乏 严格 的 安全 性 
证 明 。 

使 用 可 证 明 安全 性 理论 来 研究 SKD 协议 最 初 是 由 Bellare 和 Rogaway 发 起 的 。 他 们 
不 但 定义 了 本 原 的 安全 性 ,还 定义 了 目标 安全 性 ,也 有 助 于 找到 bug。 更 重要 的 是 ,SKD D 
议 的 安全 性 可 以 得 到 证 明 。 这 项 研究 在 实现 基本 安全 目标 方面 已 经 取得 了 巨大 成 功 ,存在 
的 问题 是 , 随 着 附加 越 来 越 多 的 目标 ,定义 和 证 明 的 复杂 性 大 大 增加 了 。 一 个 发 展 方向 是 把 
可 证 明 安 全 性 和 形式 化 分 析 方法 结合 起 来 ,这 就 是 通常 所 说 的 混合 方法 。 

SKD 的 可 证 明 安全 性 研究 主要 包括 以 下 3 个 方面 的 内 容 。 

(1) 定义 。 直 接 给 出 安全 性 定义 ,再 证 明 符合 定义 。 

(2) 可 信和 模型 。 如 2 方 基于 对 称 密码 的 模型 ,3 方 模型 等 。 

(3) 安全 目标 。 主 要 有 认证 ,新 鲜 性 、 机 密 性 \ 已 知 密 钥 攻 击 、 前 向 机 密 性 (Forward 
Secrecy) 及 字典 攻击 等 。 

需要 说 明 的 是 ,作为 一 种 较 新 的 安全 目标 ,前 向 机 密 性 是 指 ,在 SKD 协议 结束 、 当 前 会 
话 密 钥 产生 后 ,即使 这 时 敌手 得 到 了 任何 一 方 的 主 密 钥 , 也 不 能 得 到 以 前 会 话 密 钥 的 任何 特 
定 信息 。 其 现实 背景 是 : 在 实际 应 用 中 ,计算 机 系统 比 协议 的 安全 性 差 一 些 , 前 向 机 密 性 组 
减 了 由 于 系统 遭受 和 人 侵 带 来 的 损失 。 


3.4.1 BR 安全 模型 及 其 应 用 


1. BR 安全 模型 

Bellare 和 Rogaway 在 1993 年 和 1995 年 分 别 给 出 两 个 可 证 明 安全 性 的 2 方 和 3 方 
SKD 协议 "中 。 协 议 本 身 很 简单 ,其 重要 意义 在 于 首次 建立 了 SKD 协议 的 形式 安全 模型 ， 
称 为 BR 安全 模型 。 这 是 一 种 现实 模型 , 亦 即 协议 只 定义 在 现实 世界 中 ,而 安全 性 是 通过 会 
话 密 钥 与 某 随 机 数 的 计算 不 可 区 分 性 来 定义 的 (基本 方法 是 使 会 话 密 钥 和 一 个 敌手 易于 得 
到 的 某 伪 随 机 数 紧密 联系 )。 因 为 原理 类 似 , 下 面 以 3 方 模型 为 例 作 一 简要 介绍 。 

CD 协议 参与 方 。I 一 {0,1,2,…,N}(0 代表 可 信 中 心 S) MF E. 

(2) PEN, P— GI. p LL) ,这 是 一 个 多 项 式 时 间 可 计算 的 三 元 组 函数 , 工 描 述 诚实 
方 的 行为 ,y 描述 S 的 行为 ,LL 描述 用 户主 密 钥 的 初始 分 布 ,具体 说 明 可 参见 参考 文 
献 [22] 。 

(3) 敌手 模型 。E 控制 所 有 合法 方 之 间 的 通信 (如 可 以 控制 协议 启动 时 间 、 算 改 、 替 换 
或 删除 数据 等 ) ,形式 化 为 一 个 概率 图 灵机 ,具有 Oracle IT; Al 9L; LE BRKT RA i 试图 
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和 成 员 j 协商 一 个 会 话 密 钥 的 通信 实例 *, 多 ;形式 化 了 S 试图 给 i,j 分 配 会 话 密 钥 的 通信 
实例 。E 所 能 发 起 的 攻击 形式 化 为 5 种 Oracle 询问 : (SendPlayer,i,j,s,z);(SendS,i,7y， 
sx) ;(Reveal,i,j,s) ;(Corrupt,i,K);(Test,i,j,s)。 前 4 ff Oracle 询问 可 以 是 多 项 式 次 ， 
形式 化 了 正 所 能 发 动 的 各 种 攻击 ,如 窃听 ,已 知 会 话 密 钥 、 重 放 、 收 买 某 合法 方 等 攻击 ， 
《Test,i,j,s) 则 只 能 询问 一 次 ,是 为 了 定义 安全 性 而 提供 的 “测试 ”Oracle。 

(4) 安全 性 定义 。 除 合理 性 (Validity) 之 外 ,如 果 敌 手 得 到 Oracle 询问 (Test,i,j,s) 的 
回答 后 ,对 挑战 (Challenge) 猜测 ?正确 的 优势 函数 Advi, s.s, Ck) C—2Pr [Good— Guess ] — 
1) 是 可 忽略 的 ,就 称 协议 是 安全 的 。 这 里 当 敌 手 发 起 Test 询问 时 ,Oracle 回答 如 下 : PER 
{0,1) ,如果 65 二 0, 返 回 一 个 随机 数 ,否则 返回 敌手 要 得 到 的 会 话 密 钥 ; 如 果 敌 手 对 5 的 取 值 
猜测 正确 ,就 称 事件 “Good-Guess” 发 生 , 敌 手 成 功 。 上 述 定 义 是 说 ,如 果 敌 手 的 成 功 概率 只 
以 可 忽略 优势 偏离 1/2 ,敌手 失败 , 即 协议 是 安全 的 。 


2. BR 安全 模型 的 应 用 

人 们 基于 BR 安全 模型 设计 了 大 量 的 SKD 协议 ,有 代表 性 的 SKD 协议 可 参见 文献 
[21]~[24]。 文 献 [21] 提 出 了 一 种 2 方 SKD 协议 ,该 协议 是 一 种 基于 非 对 称 密码 方案 ( 公 
钥 加 密 、 签 名 ) 的 SKD 协议 。 该 协议 具有 以 下 性 质 : 如 果 公 钥 加 密 和 签名 方案 满足 正规 的 、 
易 理 解 的 安全 目标 , 则 协议 抗 已 知 会 话 密 钥 攻击 安全 ,具有 语意 安全 性 (Semantic Security, 
即 敌 手 得 不 到 会 话 密 钥 K 的 任何 信息 ) 。 

文献 [22] 提 出 了 一 种 3 7; SKD 协议 ,概述 如 下 。 

(D A—BiR,, 

(2) B—Si:R,. Rs, 

(3) S*A:Ca= Encan (K) Macq CA. B,Ra C4) 。 

(4) S—B,Cs —Enoji; (K) , Macjz CA, B. Rs Cg), 

这 里 a[] OL] Beas XE ELM ,这 是 基于 对 称 密码 方案 (对 称 加 密 , 认 证 码 ) 的 SKD, 可 证 明 
安全 性 质 同 上 。 

以 上 协议 的 缺点 是 不 具有 ”前 向 机 密 性 ”,Bellare 等 又 提出 了 一 个 具有 “前 向 机 密 性 ”的 
SKD iN) ,该 协议 和 具有 认证 功能 的 Diffie-Helllman 协议 基本 相同 ,区 别 只 在 于 对 会 话 
密 钥 用 Hash 函数 做 了 随机 化 处 理 : K — HCg? mod f) ,可 证 明 安 全 性 是 基于 RO 模型 的 。 

此 外 ,Bellare 和 Pointcheval 等 在 基于 口令 的 SKD 协议 研究 方面 也 取得 了 很 好 的 结 
果 ,在 2000 年 提出 的 一 种 兼 具 “前 向 机 密 性 ?和 抗 字 典 攻击 性 质 的 SKD BRUT ,安全 性 证 
明 是 基于 RO 模型 中 的 Diffie-Hellman 问题 。 基 于 口令 的 SKD 协议 是 一 种 很 有 应 用 前 景 
的 协议 ,后面 将 详细 论述 。 

对 SKD 协议 主要 有 两 类 攻击 : 其 一 是 利用 基础 本 原 的 弱点 发 动 攻击 ,如 破译 分 组 密码 
或 伪造 MAC; 其 二 是 利用 协议 设计 的 缺陷 发 动 攻击 ,比如 对 NS 协议 的 已 知 密 钥 攻击 。 而 
可 证 明 安 全 性 的 目标 是 证 明 不 能 存在 源 于 协议 缺陷 的 攻击 ,暗含 假设 是 ,不 存在 针对 基础 本 
原 的 攻击 , 亦 即 基础 本 原 具 有 清晰 的 、 标 准 的 .易于 理解 的 密码 性 质 。 

BR 安全 模型 作为 第 一 个 有 关 SKD 协议 的 形式 化 安全 模型 得 到 了 广泛 的 重视 ,在 实践 
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中 不 断 得 到 改进 。 然 而 它 只 定义 在 现实 世界 中 ,因此 归 约 过 程 较为 烦琐 ,可 操作 性 稍 差 。 研 
究 定 义 在 两 个 世界 (理想 和 现实 世界 ) 中 的 协议 模型 就 成 为 一 种 很 好 的 选择 (因为 理想 模型 
中 的 协议 和 现实 中 的 协议 之 间 的 转换 更 易于 操作 和 理解 ) ,最 具有 代表 性 的 结果 就 是 著名 的 
BCK 安全 模型 *]。 


3.4.2 BOK 安全 模型 及 其 应 用 


文献 [25] 中 给 出 了 构造 和 分 析 SKD 协议 的 一 般 框架 ,给 出 了 正确 的 形式 化 方法 ,并 建 
议 在 设计 复杂 协议 时 采用 简单 .富有 吸引 力 的 模块 化 设计 原则 , 称 为 BCK 安全 模型 。BCK 
安全 模型 的 基本 思想 是 : 基于 模块 化 观点 ,首先 把 SKD 协议 定义 在 理想 模型 中 ,然后 像 BR 
安全 模型 那样 利用 计算 不 可 区 分 性 来 定义 理想 模型 中 的 安全 性 ,最 后 协议 被 “编辑 ”成 现实 
模型 中 的 协议 ; 归 约 证 明 时 要 求 现实 敌手 必须 能 “模仿 ”理想 敌手 ,所 谓 “ 模 仿 ” 概 念 也 就 是 不 
可 区 分 性 。 


l. BCK 安全 模型 简介 

该 模型 适用 于 研究 认证 通信 问题 ,并 特别 强调 相关 的 密 钥 交换 问题 。 

CD 敌手 模型 。 敌 手 控制 合法 用 户 的 通信 信道 ,可 以 修改 或 删除 传送 消息 ,甚至 可 以 插 
入 假 消息 ;还 控制 了 消息 发 送 的 延迟 ;可 能 还 具有 额外 的 能 力 , 如 收买 用 户 ( 很 多 时 候 ,这 模 
拟 了 通过 入 侵 用 户 计算 机 系统 获得 用 户 秘密 参数 )。 认 证 链 模 型 中 的 敌手 称 为 AM 敌手 ， 
概括 说 来 除了 收买 某 方 的 情形 ,AM 敌手 不 能 伪造 消息 ,只 是 忠实 地 传递 消息 (虽然 可 以 改 
变 传递 顺序 、 延 迟 等 ) ; 非 认 证 链 模型 中 的 敌手 称 为 UM 敌手 ,能力 要 强 得 多 。 

(2) 安全 目标 。 确 保 传送 数据 的 可 认证 性 。 简 单 采用 签名 或 MAC 可 能 是 不 够 的 ( 当 
然 它们 通常 是 设计 解决 完整 性 办 法 的 基础 ) ,因为 网 络 本 质 上 是 异步 的 ,协议 经 常 是 “消息 驱 
动 ” 的 。 

(3)“ 通 用 编译 器 "C。 这 是 模块 化 研究 的 核心 组 件 ,作用 是 把 理想 认证 模型 中 的 任何 协 
议 x 转换 成 现实 协议 x — C GO ,后 者 完成 和 前 者 一 样 的 任务 ,但 能 够 抵抗 强 得 多 的 现实 敌 
手 。 认 证 器 (Authenticator) 是 一 个 特殊 的 编译 器 C: 对 任何 协议 x,C(z) 在 非 认证 网 络 中 模 
fj x。 设 计 认 证 器 通常 可 以 归 约 为 更 简单 的 协议 ,如 MT-authenticator( 消 息 传播 认证 器 )， 
其 目标 只 是 认证 用 户 间 简 单 的 消息 交换 ,可 以 基于 简单 的 密码 函数 (如 MAC 数字 签名 、 公 
钥 加 密 ) 来 构造 它 。 认 证 器 的 定义 涉及 认证 和 非 认 证 模型 的 形式 化 定义 以 及 运行 在 两 个 模 
型 中 的 协议 的 等 价 概念 ,后 者 的 基本 要 素 是 一 个 协议 被 另 一 个 “模仿 ”的 概念 , 它 源 于 安全 多 
方 计算 协议 的 一 般 定义 "9。 

(4) 协议 定义 。 设 计 与 分 析 在 非 认 证 网 络 中 的 协议 可 划分 为 两 个 独立 的 阶段 : 首先 在 
认证 模型 中 设计 并 证 明 协 议 安全 性 ;然后 应 用 特定 的 认证 器 确保 被 “编译 ”后 的 协议 在 非 认 
证 环境 中 ,维持 和 理想 认证 模型 中 相同 的 行为 。 这 样 大 大 简化 了 设计 与 分 析 工作 ,还 为 设计 
者 提供 了 一 种 “debug 工具 ”, 帮 助 消除 不 必要 的 协议 元 素 。 具 体 而 言 ,SKD 协议 定义 为 一 
种 “消息 驱动 协议 ”: 它 是 这 样 的 一 个 迭代 进程 ,具有 某 初始 状态 (协议 的 输入 、 随 机 输入 , 身 
份 ) 的 某 方 调用 协议 后 ,协议 等 待 激 活 (Activation) : 可 由 两 类 事件 引起 ,来 自 网 络 的 消息 到 
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达 或 一 个 外 部 请 求 ( 这 形式 化 了 来 自 该 方 运行 的 其 他 进程 的 信息 ) ;激活 后 ,协议 根据 输入 数 
据 、 当 前 内 部 状态 ,产生 一 个 新 的 内 部 状态 ,一 个 向 网 络 发 出 的 消息 ,一 个 给 该 方 运行 的 其 他 
协议 (或 进程 ) 的 外 部 请 求 , 此 外 还 产生 一 个 输出 ( 它 是 累加 的 , 即 开始 为 空 ,每 次 激活 后 的 输 
出 被 附加 上 去 ) ;激活 结束 后 ,协议 等 待 下 一 次 激活 。 协 议 可 以 形式 化 表示 为 一 (概率 ) 函 数 : 

x( 当 前 状态 ,接收 消息 ,外 部 请 求 ) 一 (新 状态 ,发 出 消息 ,发 出 请 求 ,输出 ) 在 认证 链 模 
型 AMCAuthenticated-Link Model) 或 非 认 证 链 模型 中 激活 都 由 对 应 敌手 A 控制 和 编排 。 
协议 的 整体 输出 即 各 方 包括 敌手 的 累加 输出 的 连接 ,这 里 敌手 的 输出 是 敌手 观察 
(Adversary View) 的 函数 。 敌 手 观察 是 指 : 敌手 在 整个 计算 期 间 , 利 用 自己 的 随机 输入 ,看 
到 或 推导 出 的 信息 。 

(5) 协议 的 模仿 。 设 xx 是 n 方 消息 驱动 协议 , 称 x 在 非 认证 网 络 中 模仿 x ,如 果 对 任 
何 UM 敌手 U, 存 在 AM 敌手 A, 使 得 对 任何 输入 zx, 满足 


Auth,,a Cz) ~ Unauthy,a Cz) 
上 式 表示 计算 不 可 区 分 。 

这 里 Auth, a Gro 7) — ADV, Geor), Auth, a Gro 172; s", Auth.(Czyr),, 是 指 在 认证 链 
模型 中 ,根据 输入 工 及 随机 输入 r 与 敌手 交互 运行 协议 x 之 后 ,敌手 以 及 全 部 P; 的 累加 输 
出 ,Unauth-A(z) 的 说 明 类 似 ,但 限于 非 认证 链 模型 。 

综 上 可 见 ,认证 器 把 ( 某 种 良好 定义 意义 上 ) 在 认证 链 模型 中 安全 的 协议 转化 成 非 认证 
链 模型 中 的 安全 协议 ,无 疑 构 造 认 证 器 至 关 重 要 。 

MT 认证 器 主要 用 于 设计 认证 器 (Authenticator) : 首先 设计 一 个 “低层 ”协议 4, 接收 外 
部 要 求 发 送 消息 的 请 求 ,然后 以 认证 的 方式 发 送 这 些 消息 ;其 次 ,已 知 某 协议 x( 在 认证 链 模 
型 中 工作 ) ,认证 器 输出 一 个 协议 x ,与 x 只 有 一 个 区 别 消息 要 经 过 4 传递 ,也 就 是 说 ， 
发 出 的 消息 不 再 直接 传 给 网 络 , 而 是 激活 4 去 传递 消息 ;不 再 直接 由 网 络 接收 消息 ,而 是 取 
自 4 的 输出 。 显 然 MT 认证 器 4 在 非 认 证 网 络 中 模仿 认证 网 络 中 的 消息 传送 协议 (MT)。 
因此 可 以 定义 以 下 编译 器 。 

编译 器 Ci: 给 定 协议 r, ER r =C HE P; 范围 内 运行 ,首先 调用 1; 对 发送 的 每 一 
消息 ,zx' 用 发 送 该 消息 给 预定 收 方 的 外 部 要 求 激活 ;每 当头 被 某 接收 消息 激活 ,都 用 它 激 
活 4, 当 4 输出 *P; 从 P; 处 收 到 mr”,x 就 被 来 自己 的 m 激活 。 

定理 3.3 VEA Æ MT 认证 器 ,C; 是 基于 4 的 编 14 
译 器 , 则 C, 是 一 个 认证 器 。 

文献 [25] 中 还 指出 , MT 认证 器 作为 最 基础 模 一 
块 , 可 以 根据 基本 的 密码 学 工具 构造 ,如 可 以 根据 公 
钥 签 名 构造 如 图 3. 1 所 示 的 MT 认证 器 Asie o 

定理 3.4 假设 签名 方案 是 抗 选 择 消息 攻击 安全 的 , 则 Me 在 非 认 证 网 络 模仿 协议 MT, 

2. BCK 安全 模型 的 应 用 

因 有 以 下 结论 ,无 妨 重点 研究 认证 链 模型 中 的 SKD 协议 (这 时 敌手 实际 是 被 动 的 ) 。 

定理 3.5 如果 是 认证 链 模型 中 的 安全 SKD 协议 ,C 是 认证 器 , 则 C(x) 是 非 认 证 链 
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图 3.1 MT 认证 器 
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模型 中 安全 的 SKD 协议 。 

定义 安全 SKD 协议 : 首先 规定 理想 进程 一 表示 了 和 赁 直觉 对 SKD 协议 所 能 期 望 的 最 
好 特征 ; 称 一 个 SKD 协 议 ( 在 认证 或 非 认证 链 模型 中 ) 是 安全 的 ,如 果 它 能 模仿 对 应 理想 
进程 。 

(1) 理想 SKD 进程 的 形式 化 。 存 在 nn 方 P1,…,P,, 以 及 一 个 理想 敌手 S, 假 设 还 有 一 
个 可 信 方 了。 计算 过 程 包括 一 系列 由 S 导致 的 激活 ,共有 以 下 4 类 激活 。 

© 调用 Pi ,以便 和 P; 建立 一 个 新 密 钥 。 最 终 效果 是 数值 *P; 和 P; 建立 了 一 个 密 钥 
(K,s)” 被 加 到 P; 的 输出 ,这 里 K 是 按 预 定 分 布 选 择 的 密 钥 ,s 包括 身份 序号 等 信息 。S 仅 
能 得 到 ,不 知道 K( 实 际 上 可 想象 由 全 把 K 传 给 P;。 如 果 建 立 密 钥 的 双方 有 一 方 被 收买 ， 
规定 由 敌手 选择 密 钥 )。 

© 调用 P; MEA P, 建立 会 话 * 的 密 钥 。 和 以 上 说 明 类 似 ,但 R 规 定 P; 是 应 答 方 (可 
MAH THEKE P). 

@ 收买 会 话 *。 这 种 激活 仅 当 * 当前 是 合法 的 ;效果 是 敌手 得 到 了 对 应 会 话 * 的 密 钥 
K ,此 外 “会 话 s 被 收买 ?被 加 到 发 起 方 的 输出 上 。 

(D 收买 P;。 效 果 是 P; 知道 的 所 有 密 钥 都 为 敌手 所 知 , 此 外 “P; 被 收买 ”被 附 于 P; 的 
输出 。 

(2) 理想 进程 的 整体 输出 。 各 方 包括 敌手 的 累加 输出 的 连接 。 

Ideals (rs ,rr) 二 ADVs(rs,rr), deals (rs,rr))1,…,(Ideals (rs,rr)),, 具 体 说 明 与 前 
面 类 似 。 

定义 3.7( 两 种 模型 中 安全 的 SKD HM) 设 + 是 n 方 消息 驱动 协议 , 称 x 在 非 认 证 网 
络 中 是 安全 的 SKD 协议 ,如 果 对 任意 UM 敌手 U, 存 在 一 个 理想 敌手 S, 使 得 


Unauth.w x Ideal; () 
称 x 在 认证 网 络 中 是 安全 的 ,如 果 对 任意 AM 敌手 A, 存 在 一 个 理想 敌手 S ,使 得 


Auth,,, © Ideals O 
就 具体 应 用 而 言 ,基于 以 上 理论 和 必要 的 安全 假设 (DLP) 不 难 证 明 ,著名 的 原始 Diffie- 
Hellman(DH) 协 议 ( 图 3. 2) 就 是 认证 链 模型 中 安全 的 密 钥 交换 协议 ,然后 基于 前 面 介 绍 的 
认证 器 Ms 不 难 转化 成 现实 模型 中 的 安全 SKD 协议 。 不 难看 出 ,这 也 正 是 人 们 出 于 对 中 间 
和 人 侵 攻 击 的 考虑 对 DH 协议 的 改进 , 即 认证 Diffie-Hellman 密 钥 协议 ,而 BCK 模型 理论 恰 
好 证 明了 这 种 改进 的 安全 性 。 


A g“ B 
K-gie gu K-gieh 


图 3.2 KAS Diffie Hellman 协议 


3.4.8 PSKD 安全 模型 
前 两 节 介绍 的 SKD 协议 通常 依赖 于 PKI 技术 或 通信 双方 共享 高 品质 秘密 密 钥 ( 主 密 


E^ 


ba RERK—_BKSTER 


钥 )。 问 题 是 完全 应 用 公 钥 技术 成 本 较 高 ,而 对 称 密码 算法 的 主 密 钥 长 度 一 般 较 长 ,显然 不 
易 记 忆 。 因 此 一 个 自然 的 思路 就 是 各 方 共享 易于 人 类 记忆 的 口令 ,由 它 构造 出 较 高 品质 的 
会 话 密 钥 ,当然 因 上 述 口令 可 能 取 自 一 个 较 小 的 字典 (多 项 式 级 ), 易 受 离线 字典 攻击 ,必须 
慎重 评估 其 安全 性 。 

基于 口令 的 SKD 协议 ( 简 记 为 PSKD) 的 安全 目标 是 : 任何 PPT 敌手 的 成 功 概率 上 界 
为 O(t/1D1) 十 p(n) ,这 里 上 是 敌手 发 动 的 会 话 数目 ,w() 是 安全 参数 的 可 忽略 函数 ,DS (0, 
1)" 是 字典 。 

第 一 个 真正 意义 上 的 PSKD 协议 是 由 Bellovin 和 Merritt 提出 的 中 ,这 一 工作 影响 深 
远 ,已 成 为 该 领域 的 研究 基础 ,但 该 协议 的 安全 性 并 未 得 到 严格 的 论证 ,仅仅 具有 基于 假想 
论断 的 推测 安全 性 。 第 一 个 对 此 进行 严格 研究 的 是 Halevi AIH. KrawczykU" ,他 们 实际 上 
是 考虑 了 一 种 非 对 称 混合 (Hybrid) 模 型 : —Fy (Server) 可 持 有 一 个 高 质量 密 钥 ,其 他 方 仅 
持 有 口令 ;任何 人 都 可 以 安全 地 得 到 服务 器 的 公 钥 。Halevi-Krawczyk 模型 适用 于 非 对 称 
访问 控制 环境 ,但 对 于 两 个 人 之 间 建 立 通信 和 则 完全 不 适用 ,而 且 要 求人 在 访问 控制 环境 中 持 
有 不 易 记忆 的 公开 口令 也 不 现实 。 那 么 是 否 可 能 实现 一 个 仅 基 于 易 记 口令 的 安全 访问 控制 
机 制 和 认证 密 钥 交换 协议 呢 ? 

首先 对 上 述 问题 作出 肯定 回答 的 是 文献 L[29] 和 [30]。 文 献 L[29] 和 [30] 的 主要 贡献 是 具 
体 给 出 了 两 个 在 RO 模型 中 可 证 明 安全 的 基于 口令 的 会 话 密 钥 分 配 协议 。 在 标准 模型 中 可 
证 明 安 全 的 方案 参见 文献 L[31] 和 [32] ,文献 L[31] 基 于 一 次 签名 技术 提出 的 PSKD 协议 称 为 
KOY 协议 ,安全 性 基于 DDH (ii HE Diffie-Hellman) 假 设 。 文 献 L[33] 则 把 KOY 协议 进 一 
步 推广 到 门限 认证 机 制 。Goldreich 则 提出 了 第 一 个 (也 是 至 目前 为 止 唯一 一 个 ) 仅 基于 标 
准 密码 假设 一 一 “ 陷 门 置换 存在 ”的 可 证 明 安全 PSKD 协议 c9 。 其 核心 思想 是 : 一 方 首先 
选择 一 个 在 较 大 的 域 上 的 线性 多 项 式 Q, 与 男 一 方 执行 一 个 安全 的 多 项 式 赋 值 算法 (安全 多 
方 计算 ),Q(w) 即 会 话 密 钥 ,这 里 多 是 口令 。 

文献 [32] 也 采用 了 “协议 模仿 ”观点 进行 安全 性 证 明 。 通 俗 地 讲 , 敌手 对 以 上 协议 的 攻 
击 效 果 可 以 类 比 为 这 样 的 攻击 : 敌手 只 被 允许 询问 常数 次 “w 是 A 的 口令 吗 ” 的 问题 。 该 协 
议 的 缺陷 是 实现 效率 仍然 不 理想 ,而 且 不 支持 一 对 用 户 的 并 行 操作 。 但 有 着 较 深远 的 理论 
意义 。 

下 面 主要 来 介绍 PSKD 安全 模型 。 

基本 约定 : 通信 双方 A、B; 信 道 C 即 PPT 敌手 ,具有 OracleA , B,C 0? (co) 是 C 以 c 
作为 辅助 输入 ,与 分 别 以 x、y 为 输入 的 A、B 通信 时 的 输出 ;口令 字典 DS{0,1}", 可 以 PPT 
取样 ,e 二 1/1D|,|1D| 可 以 表示 成 的 函数 m(n)。 

定义 3.8((1 一 s) 不 可 区 分 ) 设 {X,} 和 {Y,} 是 两 个 概率 空间 , 称 它们 是 (1 一 e) 不 可 区 


分 的 ,表示 为 {X,} 三 {Y,) ,如 果 对 任意 PPT 算法 A 及 所 有 辅助 输入 z€10,1}™*" ,| Pr[A 
(OX, 132 —1]— Pr[ACY, ,1",z) 二 1]|<e 十 y(n)。 其 中 y(n) 是 一 个 可 忽略 函数 。 

TEX. 如 果 取 为 指数 函数 ,就 得 到 通常 的 计算 不 可 区 分 概念 。 因 此 ,定义 3.8 是 计算 
不 可 区 分 概念 的 推广 。 也 称 定义 3.8 为 弱 计 算 不 可 区 分 。 类 比 伪 随 机 性 理论 0] ,给 出 以 下 
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的 推广 定义 。 

定义 3.9((1 一 e ) 伪 随机 性 ) 称 {X,} 是 (1 一 s) 伪 随机 的 ,如 果 它 与 均匀 空间 {U,} 是 
(1 一 e) 不 可 区 分 的 。 

也 称 定义 3. 9 为 弱 伪 随机 性 。 

(1) 基本 思想 。 采 用 “模仿 ”论断 ,即使 得 运行 于 现实 模型 的 协议 模仿 理想 模型 的 功能 ， 
两 种 情况 下 的 输出 不 可 区 分 。 

(2) 理想 模型 。A’、B' 是 共享 口令 wErD 的 诚实 方 ,C' 是 任意 PPT 理想 模型 敌手 ,有 
辅助 输入 c;A“、B' 把 口令 交 给 可 信 第 三 方 ,C' 发 送 0 或 1( 接 受 / 拒 绝 ) , 若 C IRE 1. k € s (0, 
1j. A’ BE C R30. k€g(0.1)  k 被 发 给 A'、B' 则 收 到 符号 | (失败 符号 ) ,两 种 
情况 下 C' 未 收 到 输出 。 

(3) 理想 分 布 。Idealc (Do) = Gw output CAD , output (B’), output(C’(o))) , BI p JR 
C' 发 出 1, 则 Ideale (D.o) — Go ;U, U, ,output(C’ (c))) 28 W , Ideale (Do) — Cu Us， |， 
output(C'(6))) 。 

(4) 现实 模型 。A,B 说 明 同 前 ,C 是 任意 PPT 现实 模型 敌手 亦 即 信道 ,有 辅助 输入 os 
初始 化 同 前 ,协议 执行 表示 为 C%”””(o) ,C 有 一 个 决定 比特 ,决定 某 一 方 的 私有 输出 是 密 
钥 或 上 (失败 符号 ) ,无 妨 设 是 B; 现 实 分 布 为 

Realc(D,o) = (w,output(A) ,output(B) , output (C^? 99? (5) ) 

(5) 协议 安全 性 定义 。 称 一 个 PSKD 协议 是 安全 的 ,如 果 满 足以 下 两 个 条 件 。 

QD 被 动 敌手 : 任 给 PPT 现实 敌手 C, 存 在 PPT 理想 敌手 C'( 总 发 送 D ,满足 


(Ideale (D0) ),.., = {Reale (D,0) }nn,o 
Q 主动 敌手 : 任 给 PPT 现实 敌手 C, 存 在 PPT 理想 敌手 C' ,满足 
(Ideale Dod} o. = (Reale (Dio), 
这 里 e 一 1/|DI|。 
上 述 安全 性 定义 有 以 下 特点 : 输出 会 话 密 钥 是 (1 一 OCe)) 伪 随机 的 ;具有 前 向 机 密 性 ， 
即 口令 泄露 不 影响 当前 会 话 密 钥 的 安全 , 抗 已 知 密 钥 攻 击 ; 具 有 人 侵 检测 特性 , 即 敌 手 对 任 
何 会 话 消息 的 修改 ,至 少 以 概率 (1 一 OCe)) 被 检测 出 。 
定理 3.6 假设 存在 单 向 陷 门 置换 , 则 存在 安全 的 (强化 )PSKD 协议 。 
这 是 文献 [32] 的 主要 结果 ,证 明 完全 是 构造 性 的 。 


3.5 基于 口令 的 安全 协议 的 模块 化 设计 与 分 析 


基于 口令 的 安全 协议 的 突出 优点 是 : 口令 短 , 易 于 人 类 记忆 和 选取 ,省 去 了 很 多 额外 装 
置 ( 如 IC 卡 ) 的 开销 。 但 从 安全 性 角度 看 ,与 一 般 的 基于 高 品质 主 密 钥 或 公 钥 的 安全 协议 相 
HE ,基于 口令 的 安全 协议 也 面临 着 严峻 的 挑战 ,最 突出 的 问题 就 是 抗 字典 攻击 问题 。 

除了 3.4.3 节 提 到 的 关于 PSKD 方面 的 研究 成 果 外 ,文献 [34] 中 提出 了 一 个 新 的 基于 
口令 的 安全 协议 , 称 之 为 口令 更 换 (Protected Password Change,PPC) 协 议 。 事 实 上 ,文献 


GL 338 $e 25 309A. 


[34] 中 的 PPC 协议 可 以 追溯 到 文献 [35] 中 的 研究 结果 。 这 类 协议 的 提出 背景 是 ,鉴于 口令 
字 通 常 长 度 较 短 ,因此 基于 口令 的 安全 机 制 存 在 许多 需要 遵循 的 特殊 准则 ,其 中 之 一 就 是 要 
定期 更 换 口令 以 确保 口令 的 安全 性 。 然 而 文献 [36] 中 的 研究 结果 表明 ,该 PPC 协议 c9 易 
于 遭受 字典 攻击 和 拒绝 服务 攻击 ,因此 是 不 安全 的 。 文 献 [36] 中 主要 利用 了 这 样 一 个 事实 : 
与 普通 安全 协议 相 比 ,PPC 协议 中 通信 双方 共享 的 旧 口 令 pw 和 准备 更 换 的 新 口令 pw 者 
是 可 以 穷 举 的 ( 均 取 自 一 个 多 项 式 数量 级 字典 ) ,通过 截取 并 分 析 通 信 双 方 共享 信息 ,可 以 推 
导出 pw 和 pw' 的 关联 等 式 ,利用 离线 字典 攻击 即 可 破解 新 、 旧 口令 ;此 外 ,该 PPC 协议 
的 认证 措施 也 存在 缺陷 。 

由 此 可 知 , 基 于 口令 的 安全 协议 不 可 能 期 望 达到 和 基于 高 品质 主 密 钥 或 公 钥 的 安全 协 
议 同等 的 安全 性 ,对 基于 口令 的 安全 协议 ,敌手 总 可 以 实施 在 线 字典 攻击 (口令 猜测 ), 即 敌 
手 仅仅 从 口令 字典 D 中 随机 选取 一 个 猜测 值 去 假冒 合法 用 户 执行 协议 ,成 功 概率 至 少 是 
1/1D1; 经 过 1 次 假冒 攻击 ,成 功 概率 至 少 是 i/1D|。 因 此 ,一 个 安全 的 基于 口令 的 安全 协议 
应 该 能 够 限制 敌手 只 能 发 动 以 上 的 在 线 猜 测 口令 攻击 ,而 成 功 概率 不 会 以 不 可 忽略 优势 偏 
移 以 上 成 功 概率 。 具 体 来 说 ,基于 口令 的 安全 协议 的 基本 安全 目标 如 下 。 

CD. 敌手 (Adversary) 发 动 离线 字典 攻击 的 成 功 概率 是 可 忽略 的 。 

D (主动 ) 敌 手 发 动 在 线 字典 攻击 (如 假冒 攻击 ) 的 成 功 概率 为 O(1/1D|) 十 y(n) ,这 里 
AmD) 是 一 个 可 忽略 函数 。 

权衡 基于 口令 的 安全 协议 的 众多 优点 ,上 述 安全 性 定义 在 具体 应 用 中 是 允许 的 : 通常 
在 线 通信 次 数 必然 是 多 项 式 时 间 的 ,而 且 会 远 远 小 于 口令 字典 的 基数 。 就 实际 应 用 而 言 , 敌 
手 的 全 部 可 能 在 线 猜测 只 能 排除 很 少 的 候选 口令 。 如 果 再 辅 以 其 他 措施 ,如 定期 更 换 口令 ， 
则 基于 口令 的 安全 协议 在 应 用 安全 性 方面 不 会 有 什么 问题 。 

但 从 计算 复杂 性 理论 角度 看 ,对 于 基于 口令 的 安全 协议 来 说 ,敌手 的 成 功 概率 毕竟 是 多 
项 式 而 非 指数 函数 的 倒数 ,并 非 可 忽略 函数 ,这 与 一 般 基于 高 品质 主 密 钥 或 公 钥 的 安全 协议 
存在 很 大 区 别 。 从 理论 上 深入 研究 这 一 点 ,对 安全 协议 的 安全 性 的 具体 影响 是 非常 有 意义 
的 ,但 目前 尚 无 文献 深入 研究 基于 口令 的 安全 协议 的 理论 基础 。 

文献 [37] 在 系统 分 析 相关 研究 结果 的 基础 上 ,借鉴 文献 [32] 中 的 思想 ,以 “ 弱 计算 不 可 
区 分 ”概念 为 基础 重点 研究 了 基于 口令 的 安全 协议 的 理论 基础 一 ““ 弱 伪 随 机 性 ”理论 。 然 
后 将 文献 [38] 中 提出 的 安全 协议 模块 化 设计 与 分 析 的 观点 推广 到 基于 口令 的 安全 协议 的 设 
计 与 分 析 , 即 系统 给 出 了 基于 口令 的 安全 协议 的 模块 化 设计 与 分 析 理 论 。 最 后 ,利用 上 述 理 
论 工具 ,具体 给 出 了 两 类 实现 简单 快捷 .具有 可 证 明 安全 性 的 安全 协议 , 即 PSKD( 基 于 口令 的 
会 话 密 钥 分 配 ) 协 议和 PPC( 口 令 更 换 ) 协 议 。 本 节 主 要 介绍 文献 [37] 中 的 相关 研究 成 果 。 


3.5.1 基于 口令 的 安全 协议 的 理论 基础 一 一 弱 伪 随机 性 理论 


要 建立 基于 口令 的 安全 协议 的 模块 化 设计 与 分 析 理 论 ,首先 必须 明确 基于 口令 的 安全 
协议 的 理论 基础 。 下 面 以 弱 伪 随机 性 概念 为 中 心 讨论 这 个 问题 。 

1. 基本 概念 

可 证 明 安全 性 理论 的 一 般 基 础 假设 : 单 向 函数 或 单 向 置换 是 存在 的 。 这 是 任何 安全 协 
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议 的 安全 性 基础 。 

定义 3.10( 弱 伪 随 机 生成 器 ) (1 一 1/m(n) ) 伪 随机 生成 器 是 一 个 满足 以 下 条 件 的 确定 
性 多 项 式 时 间 算 法 G。 

CD 扩展 性 : 存在 扩展 因子 16079. 1GG2 | 24C] s G€ (0:1) )。 

(2) 弱 伪 随机 性 : PERE E (GCU,O } nen FE CL— 1/m(n) DS BÉ BLAS 

定义 3.11( 弱 单 向 函数 ) 称 函数 f: (0,1) > (0.1) 7 是 弱 单 向 的 ,如 果 满 足下 面 的 
条 件 : 

CD f 是 多 项 式 时 间 可 计算 的 。 

(2) 存在 多 项 式 pC * 0 ,使 得 对 任意 PPT 算法 A, 对 所 有 足够 大 的 n, 有 

Pr[A(f(U)) € FAUD] > 1/p(n) 

通俗 地 讲 , 弱 单 向 函数 是 指 求 逆 失 败 概率 “不 太 小 ”( 与 单 向 函数 相 比 ) 的 函数 。 显 然 , 单 
向 函数 必然 是 弱 单 向 函数 ,但 反之 不 然 , 实 际 上 存在 大 量 不 是 单 向 函数 的 弱 单 向 函数 ""。 

定义 3.12(e 单 向 函数 ) 称 函数 f:{0,1}" 一 (0,1) 是 e 单 向 的 ,如 果 满 足下 面条 件 : 

CD. f 是 多 项 式 时 间 可 计算 的 。 

(2) 对 任意 PPT 算法 A, 对 所 有 足够 大 的 n, 有 Pr LACU, D Ef CGU, ]>e0 

显然 弱 单 向 函数 就 是 1/p(n) 单 向 函数 。 另 外 根据 文献 [1], 存 在 由 弱 单 向 函数 构造 单 
向 函数 的 一 般 PPT 算法 。 

定义 3.13( 统 计 差异 ) ”两 个 概率 空间 {X,} 和 {Y,} 的 统计 差异 (Statistical Difference) 
定义 为 

AG) = 1/25] | Pr [X, —a]— Pr [Y, = a] | 
统计 差异 衡量 了 两 个 统计 分 布 曲线 的 接近 程度 。 


2. 基本 性 质 

定理 3.7 WR FERH p(n). AC) <1/m(n) +1/p(n) W XY 是 弱 计 算 不 可 区 
分 的 。 

证 明 WE f 是 任意 布尔 函数 (PPT 算法 ), 令 

S, = {zx;f(z) = 1) 
则 有 
1/m(n) +1/p() > AGO = maxs | Pr [X, € S]— Pr[Y, € S] | 
>| Pr [X, € Sr] 一 Pr LY, € Sj] =| Pr [f(X,) = 1] — Pr [FY,) = 1] | 

由 f 的 任意 性 以 及 统计 差异 的 定义 即 可 得 证 。 

注意 定理 3.7 的 逆 命 题 一 般 不 成 立 。 

以 上 的 弱 计 算 不 可 区 分 定义 是 针对 单个 统计 样本 而 言 , 但 在 具体 应 用 中 经 常 涉及 对 多 
重 样本 的 统计 分 析 , 如 对 序列 密码 的 多 个 截断 序列 或 分 组 密码 的 多 个 明 / 密 文 对 取样 分 析 ， 
特别 是 任意 PPT 敌手 对 基于 口令 的 安全 协议 做 多 次 在 线 猜 测 攻击 得 到 的 “观察 (View)” 样 
本 。 因 此 ,分 析 重 复 取样 条 件 下 的 弱 伪 随机 性 质保 持 程度 是 很 有 意义 的 。 

以 下 讨论 表明 ,与 伪 随 机 序列 相 比 , 弱 伪 随机 序列 的 多 项 式 取样 不 能 在 完全 意义 下 保持 


bs 
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弱 不 可 区 分 性 质 , 这 一 点 和 伪 随 机 序列 的 多 项 式 取样 完全 不 同 。 

定义 3.14( 重 复 取 样 的 弱 计 算 不 可 区 分 性 ) 称 任 意 两 个 概率 空间 X= (X, en Y= 
{Y,)nen 是 多 项 式 时 间 取 样 (1 一 1/m(n)) 计 算 不 可 区 分 的 ,如 果 对 任意 PPT 算法 A, 任 意 多 
项 式 g(，。),p(，。), 对 足够 大 的 nn, 有 

| PL ACX?P +++, X7) = 1] — Pel ACY? YE") = 1] |< 1/mGD + 1/p(n) 
3x HLOXZ? ) AY? } 分 别 是 独立 同 分 布 的 随机 变量 序列 。 

定理 3.8 设 任意 两 个 概率 空间 X 一 {X,)eNw',Y 一 {Y,),ev 都 是 多 项 式 时 间 可 构造 的 ， 
如 果 X、Y 是 (1 一 1/m(n)) 计 算 不 可 区 分 的 , 则 其 多 项 式 (g(n)) 取样 序列 是 
(1 一 qlm)/m(n)) 计 算 不 可 区 分 的 (注意 根据 具体 应 用 背景 ,gq(n) 二 m() 属 于 自然 限制 )。 

证 明 采用 著名 的 “ 归 约 论断 (Reduction Argument)” A * iE 4 H 33 C Hybrid 
Technique) 。” 

假设 定理 结论 不 成 立 , 则 存在 PPT 算法 A 以 及 多 项 式 9(。) pC +), FERE FUR E: 

| PrLAQXZ? ye, XP) = 1]  PLAQ'? Y?) = 1] | > qG0/mG0 + 1/pGD 
定义 混合 随机 变量 Hz = (XP ee XP SYED es YII HL Oh <q(n), SEA H= 
YP yore YO), HIS (X? ,-, XO) ar. 

设计 算法 4 : 输入 e( 设 位 于 X, R Y, 的 值 域内 ) 

(D 随机 选择 k€ (0.1.-.qG0—1). 

@ 生成 样本 观察 值 enm pact yt mets Gr! emat y? my 分 别 是 相应 X 或 
Y? 的 样本 观察 值 ) 。 

@ 输出 Az! ,rt ay ven, 5), 
由 全 概率 公式 (注意 k 在 {0,1,…','9(2) 一 1} 上 均匀 分 布 ) 易 见 有 下 式 成 立 

| Pr[A’CX,) = 1] — PrLA'CY) = 1] | 


a 
= 1/q(n) | >) (PrL[ACH") = 1]— Pr[ACH}) = 1) | 
k=0 


= 1/q(n) | Pr[ACH2) = 1] — Pr[A(H}) = 1] | 
一 | PrLACXO s, XV) = 1] — Pr[A Y P” Yo ) = 1] | /q(n) 
> 1/m(n) + 1/q(n) p(n) 
这 与 概率 空间 X=(X, en Y= (Y, rene BH HA RT DX AE BU 3X — TEA Ji ,证 毕 。 
不 难看 出 ,定理 3.8 正 是 引言 中 所 给 出 的 基于 口令 的 安全 协议 的 安全 性 定义 的 理论 
依据 。 


3. 弱 单 向 函数 暗示 弱 伪 随机 生成 器 的 存在 

单 向 函数 在 密码 学 中 处 于 基础 地 位 ,这 里 给 出 弱 伪 随机 性 与 弱 单 向 函数 之 间 的 关系 。 
基本 结论 是 ,正如 单 向 函数 的 存在 性 暗示 伪 随 机 生成 器 的 存在 性 一 样 , 弱 单 向 函数 暗示 弱 伪 
随机 生成 器 的 存在 。 

定理 3.9 设 G 是 扩展 因子 为 !(z) 一 2z 的 弱 伪 随机 生成 器 , 令 f:{0,1)* 一 {0,1}" , 定 
X f(z,y) 一 G(x), 这 里 |z| 二 |y|, 则 f£ 是 弱 单 向 函数 。 
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证 明 显然 了 是 易于 计算 的 。 下 面 仍然 采用 归 约 论断 。 假 设 f 不 是 弱 单 向 函数 , 则 对 


任意 多 项 式 p>), FE PPT 算法 A, 对 足够 大 的 n, A PE[ACF QU, € 
£7 fx) 1<1/ pO) , 亦 即 
Pr[ fCACFQU,,))) = f(U5,2] >1—1/p(n) 


注意 由 了 的 定义 有 f U2 )=GU,) MIT. 

构造 算法 D: 输入 a€ (0,1) ;调用 算法 A 求 cE{t0,1 和 在 了 作用 下 的 原 像 , 如 果 成 功 
则 输出 1 ,否则 输出 0。 

A fA Dia) — 16 fCACa)) =a. FRE fUn) =GU,) BA 


Pr[ D(GGQU,)) = 1] = Pr[ f(A(GWU,))) = GU,) ] > 1—1/p(n) 
另外 ,根据 f 的 构造 方法 ,至 多 有 2" 个 不 同 的 2n 长 比特 串 在 也 作用 下 有 原 像 , 即 
Pr[D(U,) —1]— Pr[ f CA (U2, )) —U,, ] < 1/2", iE ifi f$ 8] PrLDCGQCU,)) — 1] — 


Pr[ D(U,) =1]>1—1/p(n) —1/2721/m(Q0 -1/ pG0 (n EEK), 这 与 G 是 弱 伪 随机 生 
成 器 矛盾 。 证 毕 。 

推论 3.1 在 定理 3.9 的 条 件 下 , 是 (1/m(n)) 单 向 函数 。 

证 明 类 似 定理 3. 9 的 证 明 方法 ,此 处 从 略 。 


4， 弱 擅 随 机 性 理论 的 密码 学 应 用 

如 前 所 述 ,在 考虑 像 基于 口令 的 安全 协议 这 类 问题 时 , 弱 伪 随机 性 作为 基本 安全 目标 已 
经 足够 满足 实际 应 用 需求 。 换 名 话说 , 弱 伪 随 机 性 理论 就 是 基于 口令 的 安全 协议 的 密码 学 
理论 基础 。 

就 其 他 应 用 而 言 ,还 可 以 考虑 把 弱 伪 随机 性 生成 器 作为 构造 密码 生成 器 (如 序列 密码 ) 
的 基本 组 件 之 一 ,这 样 做 的 优点 是 显然 的 ,如 实现 效率 可 能 更 高 .实现 成 本 更 低 、 选 取 范 围 更 
广 。 因 为 以 上 讨论 表明 , 弱 单 向 函数 是 弱 伪 随机 生成 器 的 基础 ,而 弱 单 向 函数 无 疑 比 单 向 函 
数 的 选取 范围 要 大 ,条 件 也 弱 得 多 ,因此 利用 弱 伪 随机 生成 器 构造 伪 随 机 生成 器 是 完全 可 
行 的 。 
3.5.2 基于 口令 的 安全 协议 的 模块 化 设计 与 分 析 理 论 


文献 [25] 中 最 早 提出 了 以 BCK 模型 为 代表 的 安全 协议 的 模块 化 设计 与 分 析 思 想 ,但 其 
适用 范围 并 不 包括 基于 口令 的 安全 协议 。 本 节 主 要 研究 基于 口令 的 安全 协议 的 模块 化 设计 
与 分 析 理 论 ,由 于 基于 口令 的 安全 协议 的 密码 学 理论 基础 存在 很 大 的 特殊 性 , 即 和 一 般 安全 
协议 存在 本 质 区 别 ( 如 存在 字典 攻击 等 ) ,因此 这 种 推广 不 是 平凡 的 。 


l. 基本 框架 

安全 协议 的 设计 难点 主要 在 于 安全 认证 通信 问题 ,通常 必须 面 对 这 样 的 主动 敌手 : 该 
敌手 控制 联系 各 合法 通信 方 的 公开 信道 ,可 以 修改 ,删除 甚至 是 错误 地 传播 消息 (伪造 ); 还 
能 控制 消息 的 延迟 ,甚至 可 能 还 具有 额外 的 能 力 ,如 收买 某 个 或 某 些 合法 方 等 。 解 决 安全 认 
证 问题 的 关键 就 是 要 确保 系统 的 行为 尽 可 能 类 似 在 理想 认证 信道 上 通信 ,传播 消息 不 会 被 
修改 或 错误 提供 起 源 。 
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文献 [25] 中 把 网 络 安 全 通信 协议 视 为 一 种 “消息 驱动 ”Message-Driven) 协 议 。 所 谓 消 
息 驱 动 协 议 是 这 样 一 个 迭代 过 程 , 某 一 具有 内 部 初始 状态 (协议 的 输入 、 随 机 输入 及 身份 等 
信息 ) 的 通信 方 可 以 调用 协议 ;一旦 调用 ,协议 即 处 于 等 待 激活 状态 ,这 种 激活 可 能 由 两 类 事 
件 引发 : 来 自 网 络 的 消息 到 达 或 某 外 部 请 求 (形式 化 了 来 自 该 用 户 运 行 的 其 他 进程 的 信 
息 ) ;一 旦 激活 ,协议 利用 初 态 及 传 来 的 数据 ,生成 一 个 新 的 内 部 状态 ,同时 生成 一 个 发 往 网 
络 的 消息 和 一 个 外 部 请 求 ,此 外 还 产生 一 个 输出 值 (输出 视 为 累加 的 )。 一 旦 激活 完成 ,协议 
等 待 下 一 次 激活 。 把 各 类 基于 口令 的 安全 协议 (诸如 基于 口令 的 会 话 密 钥 分 配 协议 以 及 下 
面 要 研究 的 口令 更 换 协议 等 ) 都 视 为 消息 驱动 协议 。 

安全 协议 模块 化 研究 方法 即 BCK 模型 "55 的 关键 组 成 部 分 是 构造 “通用 编辑 器 C”( 也 
称 认 证 器 ): 把 理想 认证 模型 中 的 任何 安全 的 安全 协议 x 转 化 成 现实 非 认证 模型 中 的 协议 
n — CGo ,后 者 完成 与 前 者 类 似 的 任务 ,但 却 能 够 抵抗 能 力 强 得 多 的 现实 敌手 的 攻击 。 也 
称 这 样 的 协议 编辑 器 为 认证 器 。 文 献 [25] 中 还 进一步 指出 ,认证 器 的 设计 可 以 归结 到 更 简 
单 的 MT 认证 器 (消息 传送 认证 器 ) 的 设计 ,这 是 一 种 结构 很 简单 的 协议 模块 ,目标 仅 限于 
认证 通信 双方 之 间 简单 的 消息 交换 或 传递 (Message Transmission) ,因此 设计 要 简单 得 多 。 

在 现实 模型 中 设计 安全 协议 的 一 般 方法 是 : 在 第 一 阶段 ,给 出 该 协议 在 理想 认证 通信 
模型 中 的 可 证 明 安 全 性 设计 ;在 第 二 阶段 ,应 用 协议 认证 器 ,把 第 一 阶段 的 协议 “编译 ?成 现 
实 模型 中 的 安全 协议 。 这 两 个 阶段 的 协议 可 以 相对 独立 地 设计 与 分 析 。 

认证 器 的 定义 涉及 对 认证 模型 和 非 认证 模型 的 严格 研究 ,而 且 要 定义 两 种 模型 中 所 运 
行 协议 的 “等 价 性 ”概念 。 可 证 明 安全 性 理论 的 “模仿 论断 ”有 助 于 定义 这 一 概念 : 一 个 协议 
的 行为 被 男 一 协议 模仿 。“ 模 仿 ”的 定义 涉及 伪 随 机 性 理论 和 计算 不 可 区 分 概念 。 

本 节 旨 在 研究 严格 基于 口令 的 安全 协议 ,因此 需要 基于 弱 伪 随机 性 理论 推广 上 述 “ 协 议 
模仿 ”的 概念 ,进而 给 出 基于 口令 的 安全 协议 的 模块 化 设计 与 分 析 理 论 。 

在 以 下 的 讨论 中 ,把 定义 3. 10 中 的 多 项 式 m(n) 取 为 口令 字典 基数 1D| ,无 妨 也 称 为 弱 


计算 不 可 区 分 ,为 方便 起 见 , 用 “三 ” 表 示弱 计算 不 可 区 分 。 

前 面 所 述 的 MT 认证 器 可 以 自然 推广 到 基于 口令 的 MT 认证 器 , 记 为 PMT 认证 器 ( 基 
于 口令 的 消息 传送 认证 器 ) 。 

(D 认证 模型 AM。 不 失 一 般 性 ,只 考虑 两 方 通信 情形 ,推广 到 多 方 网 络 情形 是 自然 
的 。 设 用 户 Pi P: 各 自 运行 相同 的 一 个 消息 驱动 协议 <。 协 议 的 计算 由 各 方 的 一 个 激活 序 
列 组 成 。 需 要 指出 ,敌手 A( 形 式 化 为 一 个 PPT 算法 ) 可 以 控制 和 编排 激活 , 即 A 决定 最 初 
激活 哪 一 方 以 及 另 一 方 收 到 哪 一 个 消息 和 外 部 请 求 等 。 敌 手 知道 发 出 的 消息 、 外 部 请 求 及 
协议 的 输出 ,但 新 的 内 部 状态 则 是 未 知 的 。 

在 理想 认证 模型 中 ,敌手 A 被 限制 只 能 忠实 地 传递 消息 (但 可 以 使 用 延迟 . 重 排 等 攻击 
手段 )。 不 失 一 般 性 ,假设 每 一 个 发 出 的 消息 都 是 不 同 的 , 即 同一 消息 不 会 发 送 两 次 (在 实践 
中 可 以 这 样 理解 每 一 消息 都 携带 发 方 和 收 方 的 身份 时 间 戳 或 其 他 防 重 放 攻击 的 随机 数 ， 
因此 消息 相同 的 概率 至 少 也 是 可 以 忽略 的 ) 。 当 某 一 方 发 出 一 份 消息 ,该 消息 即 被 加 入 “ 待 
发 送 消息 ”集合 M( 形 式 化 记 法 ); 无 论 何 时 敌手 用 送 达 消息 mn 激活 另 一 方 时 ,那么 必然 有 
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mE M, 而 且 被 激活 方 就 是 收 方 ( 即 m 不 可 能 是 敌手 伪造 的 )。 敌 手 还 可 以 随意 收买 某 个 或 
某 些 用 户 ,这 时 可 以 获知 被 收买 用 户 的 所 有 内 部 状态 ,而 且 从 这 个 时 刻 起 ,敌手 可 以 向 M 注 
入 伪造 消息 。 总 之 在 理想 认证 模型 中 ,敌手 是 被 动 的 ,不 具有 伪造 或 自 改 消息 的 能 力 。 

安全 协议 的 整体 输出 (Global Output) 是 各 方 包括 敌手 的 累加 输出 的 连接 。 敌 手 的 输 
出 是 敌手 的 观察 (View) 的 函数 ,敌手 的 观察 是 指 协 议 执行 期 间 敌 手 看 到 或 推导 出 的 信息 及 
随机 输入 等 。 

下 面 先 引 入 一 些 符 号 。 

ADV, Ger): 当 敌 手 A 和 执行 协议 x 的 双方 交互 时 , 设 协议 的 输入 是 x x zzyr 一 
rorira( 这 里 ro 表示 敌手 的 随机 输入 ,zi\r 表示 P: 的 输入 和 随机 输入 );ADV.,a (xz,r) 表 示 
A 的 输出 。 根 据 具体 情况 输入 可 以 为 空 ,后 不 注 。 

AUTH,A Gr): 表示 在 敌手 A 存在 的 条 件 下 «P; 在 执行 完 以 上 协议 之 后 得 到 的 累加 
输出 。 

令 AUTH,a(z,7) 二 ADV,a Ger) AUTH,A G7); AUTH, A Ger); 24 BÉ BLA A, r 35 
匀 随 机 选取 时 ,用 随机 变量 AUTH, A (zx) 来 表示 。 

(2) 非 认 证 模型 UM。 这 是 现实 模型 。UM 模型 基本 上 和 AM 模型 类 似 , 除 了 这 时 的 
敌手 是 一 个 UM 敌手 (主动 敌手 )U ,U 不 再 局 限于 忠实 传递 M 中 的 消息 ,相反 可 以 使 用 任 
何 伪 造 的 消息 激活 任 一 方 。 

类 似 地 ,可 以 类 比 引入 符号 Unauth,,, Gr» 7) fl Unauth.s(z) 等 ,其 基本 含义 类 似 。 

(3) 协议 模仿 。 协 议 模仿 概念 是 为 了 表示 以 下 想法 : 在 非 认 证 网 络 中 运行 协议 x 与 在 
理想 认证 模型 中 运行 协议 x 有 相同 的 效果 (在 功能 特别 是 在 安全 性 能 方面 是 “等 价 ” 的 ) 。 

下 面 利用 弱 计 算 不 可 区 分 概念 给 出 x 模仿 x 的 概念 。 

定义 3.15 设 rr' 都 是 2 方 消息 驱动 协议 , 称 在 非 认证 模型 中 模仿 ,如 果 对 任 一 
UM 敌手 U, 存 在 一 个 AM 敌手 A, 对 于 所 有 输入 zx, 有 


Unauthy v(x) = Auth, 4 Cr) 

定义 3.15 可 以 理解 为 : 任何 UM 敌手 攻击 协议 x 造成 的 后 果 和 AM 敌手 攻击 协议 xc 
造成 的 后 果 是 等 效 的 , 即 前 者 可 以 被 后 者 模仿 。 

定义 3. 16( 基 于 口令 的 安全 协议 认证 器 ) 对 任何 协议 x 而 言 ,基于 口令 的 安全 协议 认 
证 器 是 这 样 一 个 协议 编译 器 C,C(r) 在 非 认 证 网 络 中 模仿 r。 

至 此 ,基本 思想 已 经 明晰 : 利用 基于 口令 的 协议 认证 器 C, 可 以 把 理想 认证 模型 中 安全 
的 基于 口令 的 安全 协议 转化 成 现实 非 认 证 模型 中 安全 的 同类 协议 。 下 面 考虑 认证 器 C 的 
构造 。 如 前 所 述 ,C 的 设计 可 以 归结 到 更 基本 的 协议 模块 设计 , 即 PMT 认证 器 。 

2. PMT 认证 器 的 设计 

设计 基于 口令 的 认证 器 C 的 一 般 构 造 技 术 : 首先 设计 一 个 以 发 送 消息 的 外 部 请 求 为 输 
入 \ 按 认证 方式 发 送 消息 的 “底层 ?协议 ;其 次 ,对 于 任何 在 理想 认证 模型 中 运行 的 协议 r， 
认证 器 输出 一 个 基于 口令 的 协议 a ,与 x 几乎 完全 一 样 ,除了 消息 传递 经 过 4 实现。 

更 精确 的 表述 : 考虑 理想 认证 模型 中 运行 的 消息 传送 协议 MT, 对 于 每 次 激活 ,P 发 送 
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消息 (P,P ,m) 给 P; ,输出 “Pi 发 送 m 58 Pa”, P: 则 输出 *P。 从 Pi 收 到 了 m. fn ER 
基于 口令 的 协议 4 在 非 认证 模型 中 模仿 (理想 认证 模型 中 的 ) 协 议 MT, 称 4 是 一 个 基于 口 
令 的 MT 认证 器 , 记 为 PMT 认证 器 。 

至 此 可 以 按 以 下 方式 定义 协议 编译 器 或 认证 器 C;。 对 于 任 一 在 理想 认证 模型 中 运行 
的 协议 ,现实 模型 中 的 协议 x — C, MAU PEM: 先 调用 4, 对 于 x 发 出 的 每 一 份 消息 ， 
zt 使 用 “发 送 该 消息 给 指定 方 ”的 外 部 请 求 激活 4; 无论 何 时 被 某 到 来 的 消息 激活 ,立刻 用 
它 激活 4, 当 4 输出 *P; AP; 收 到 消息 m”, 则 x 被 来 自 忆 ; 的 消息 激活 。 

定理 3.10 设 4 是 一 个 PMT 认证 器 , 则 以 上 定义 的 C, 是 一 个 基于 口令 的 认证 器 (或 
编译 器 ) 。 

证 明 设 x 是 一 个 理想 认证 模型 中 的 协议 ,只 需 证 明 x 二 G(x) 在 非 认 证 模型 中 模仿 
x。 即 对 任意 UM 敌手 ,构造 一 个 AM 敌手 ,对 于 任何 输入 ,满足 


Unauthy ,a (x) = Auth, 4 Cr) 

证 明 方法 和 文献 [34] 中 的 相关 部 分 完全 一 样 ,只 是 将 计算 不 可 区 分 概念 替换 为 弱 计 算 不 可 
区 分 概念 。 

下 面 给 出 一 个 基于 认证 码 (MAC 算法) 的 PMT 认证 器 。 

基于 认证 码 的 PMT 认证 器 Amac o 

参数 设置 : EJ; AMT B 仅仅 共享 口令 pw ED。 待 传递 消息 为 mw。 其 余 参 数 的 设置 
同 3.5.3 小节 中 的 DH 协议 。 

协议 执行 过 程 如 下 。 

(D A 随机 选择 NAE Z; ,发 送 (m,C4 二 Es (g™)) 给 B, 

(2) B 收 到 以 上 消息 后 ,随机 选择 Ns € Z; RŽ n, Cr =E m (g) A A。 

G) A 收 到 消息 后 ,经 解密 运算 得 到 gxe , RI Cm. C= MACn(m,B)) 给 B, 这 里 
Ng, 

B 收 到 该 消息 后 ,验证 MAC 值 ,决定 是 否 接 受 ,如 果 接 受 ,输出 “B 收 到 来 自 A 的 消 
息 m”。 
说 明 : 为 了 简便 ,无 妨 设 以 上 待 发 送 消 息 中 总 含有 意 定 接收 方 的 ID 和 防 重 放 攻 击 的 时 
间 戳 或 随机 数据 , 仍 简单 记 为 MACw, (m) E 是 一 个 安全 的 对 称 加 密 算法 (这 里 均 指 一 一 对 
应 的 分 组 密码 算法 ,如 AES, 并 形式 化 为 一 个 理想 密码 模型 );MAC 是 一 个 安全 的 认证 码 算 
ik: MAC 伪造 敌手 FUER PPT 算法 ) 具 有 Oracle MAC, 可 以 用 自己 随意 选择 的 任何 消息 
m 询问 Oracle MAC( 当 然 询问 次 数 是 多 项 式 数量 级 ) ;如 果 最 后 敌手 下 能 够 成 功 伪造 一 个 
未 询问 过 的 消息 (新 消息 ) 的 MAC 值 的 概率 是 可 忽略 的 ,就 称 MAC 算法 是 安全 的 ,形式 化 
表示 为 

Pr[K < KeyGen, (m,C) < F^“: , Verify(m,C) = 1] = p(n) 

这 里 w(D 是 可 忽略 函数 。 

定理 3.11 假设 对 称 加 密 算 法 是 理想 密码 模型 (Jdeal-Cipher Model, ICM) , H. MAC 
是 安全 的 认证 码 算 法 , 则 PMT 认证 器 Awac 在 非 认 证 模型 中 模仿 (理想 认证 模型 中 的 ) 消 息 
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传输 协议 MT。 

证 明 设 口 是 一 个 与 wac 交 互 的 UM 敌手 ,下 面 只 需 构造 一 个 AM 敌手 A 满足 : 至 多 
除了 概率 p= 二 OC(1/1D1) 十 y(n) 二 O01/1D1) 十 ele 二 p(n) 是 可 忽略 函数 ) 外 ,Authyr,a ()、 
Unauth aeu O 〇 的 统计 差异 可 忽略 (统计 分 布 相 同 )。 为 了 方便 ,仍然 只 考虑 2 方 情 形 。 需 要 
构造 一 个 满足 定义 3. 15 的 AM 敌手 A. 

首先 当 U 激活 要 发 送 m 给 被 模仿 方 也 :的 被 模仿 方 Pi 时 ,AM 敌手 A 激活 认证 模型 中 
的 对 应 方 P, ,Pi 打算 发 送 m 给 P:;A 继续 运行 U 和 运行 Awac 的 被 模仿 方 之 间 的 交互 。 当 
被 模仿 方 P 输 出 “P; 收 到 来 自 P1 的 消息 m” 时 ,A 使 用 来 自己 的 消息 m 激活 认证 模型 中 的 
P: 。 当 现实 敌手 U 收买 某 一 方 时 ,A 收买 理想 认证 模型 中 对 应 的 一 方 。 最 后 A 输出 U 输 
出 的 任何 信息 。 

Wt Bad 表示 以 下 “模仿 失败 ”事件 : P% 输 出 “P' 收 到 来 自 P14 的 消息 m”, 同 时 
P| RBM , Mi On, P,P,) 当 前 不 在 待 传递 消息 集合 M 当中 ( 即 Pi 事实 上 没有 发 送 过 以 上 
的 消息 ) 。 显 然 , 如 果 模 仿 不 失败 ,AM 敌手 和 UM 敌手 的 输出 统计 分 布 是 完全 相同 的 , 因 
此 下 面 只 需 证 明 Bad 发 生 的 概率 Pr [Bad]<p, 

在 Bad 发 生 的 情况 下 ,这 意味 着 UU 最 终 成 功 伪造 了 一 个 新 的 MAC 值 ,其 基本 思路 是 : 
在 理想 密码 模型 中 , 忆 是 一 个 随机 置换 ,因此 敌手 不 可 能 以 大 于 po 的 概率 得 到 (pw,Ns) 的 
任何 信息 ,除了 在 线 穷 举 pw. Sid MAC 是 安全 的 ,因此 Bad 发 生 的 概率 至 多 是 o。 

首先 要 注意 ,假设 对 称 加 密 算法 Epe Je Bü BUB T «BI Es 是 一 个 一 一 对 应 的 随机 函数 。 
因此 询问 者 即 敌 手 U 在 不 经 询问 Oracle Ej 的 情况 下 ,也 可 能 导致 Bad 事件 的 发 生 , 但 由 
于 这 是 随机 预言 ,再 考虑 到 口令 pw€D, 因 此 这 时 (伪造 任何 一 个 新 消息 的 对 应 MAC 值 事 
件 ) 发 生 概率 至 多 是 O(1/1D|) (模仿 了 在 线 口令 猜测 攻击 )。 因 此 ,以 下 只 需 考虑 除了 这 种 
模仿 失败 情况 之 外 , 即 在 必须 询问 随机 预言 的 情况 下 ,事件 Bad 的 发 生 概率 是 否 是 可 忽 
略 的 。 

下 面 假设 不 然 , 即 这 种 情况 下 Bad 发 生 的 概率 至 少 是 s, 并 且 是 不 可 忽略 的 。 不 失 一 般 
性 ,假设 发 生 概率 就 是 :。 下 面 以 之 为 子 程序 构造 一 个 MAC 伪造 者 下 。 为 了 方便 ,仍然 记 
现实 模型 中 的 通信 双方 为 A、B, 敌 手 仍然 记 为 U。 

在 事件 Bad 以 概率 e 发 生 的 条 件 下 , 设 /是 现实 敌手 U 在 运行 协议 过 程 中 传递 的 消息 
总 数 ,也 就 是 说 ,U 至 多 1 次 使 用 “消息 ……” 激 活 各 方 。 那 么 在 至 多 7 次 询问 相应 MAC 
Oracle 的 条 件 下 ,MAC 伪造 者 下 的 成 功 概率 就 是 e/1。 

更 精确 的 描述 : 可 以 定义 一 个 MAC 伪造 者 下 ,其 输入 是 N* ,C4 = E, (g%), 
Ca 一 Eu(gve), 这 里 N 一 8gvave(N 显然 是 未 知 的 )。F 拥有 随机 预言 En, 和 以 N* RAD 
为 验证 密 钥 的 MAC Oracle MACN: 。 

MAC 伪造 者 下 的 构造 :下 将 模仿 用 户 A、B 与 敌手 U 交互 运行 协议 (提供 模拟 环境 , 敌 
手 可 以 从 中 得 到 “观察 ” 即 View). BE m^ 是 用 以 激活 B 的 全 部 消息 中 随机 选 定 的 一 个 
消息 。 

如 果 模 仿 过 程 中 A 被 收买 , 则 下 宣告 失败 ,放弃 模仿 。 

如 果 被 模仿 方 A BH CHE, (g*) 激 活 ( 这 里 设 List 一 {(N,c) 1c 二 Eps(g*)} 是 下 保 
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存 的 一 份 记录 ,开始 是 空 集 ; 设 ERT MBI AI m Am” 的 回答 ), 则 下 首先 从 List 中 检 
索 是 否 有 对 应 于 索引 c 的 询问 ,如 果 有 则 选取 对 应 的 N; 否 则 ,随机 选取 NEZ; ,定义 < 一 
E, G0 ,依据 DDH 假设 ,随机 选取 大 ,并 用 MAC: (g*) 予 以 回答 ;最 后 下 刷新 List 表 ( 把 
新 的 (N,c) 储 存 进 List), WR c— C4 或 Cs, 则 放弃 。 

当 B 被 敌手 用 消息 m" ,Ca 激活 , 则 下 用 (m* ,Cs) 回 答 , 注 意 Cs 恰好 就 是 下 的 输入 
密 文 。 

如 果 A 被 来 自 B 的 消息 “(m,Cs)” 激 活 , 且 ms mU F EIER N, BIA c= 
MAC, Gn) ;如 果 CA 曾经 询问 过 , 则 下 询问 MAC Oracle MACy: 作为 回答 ;而 如 果 m= 
m” ,下 放弃 模仿 ,宣告 失败 。 

最 后 ,如 果 敌 手 U 使 用 来 自 A BUS On" OM BW Fih Gn" ,C) (期 望 C= 
C' 2MAOy: (m" )), 停 机。 

对 以 上 算法 可 做 以 下 分 析 。 

首先 ,在 下 不 放弃 模仿 的 情况 下 ,敌手 U 在 和 下 的 模仿 交互 过 程 中 得 到 的 观察 与 和 现 
实用 户 交互 得 到 的 观察 的 统计 分 布 相同 。 然 后 设 Bad" 表示 以 下 事件 : 在 下 的 模仿 运行 中 ， 
用 户 A 被 假冒 , 且 对 应 的 假冒 消息 是 m* 。 

HAF m^ 是 随机 选取 的 ,而 且 Bad 事件 和 放弃 模仿 事件 不 会 同时 发 生 ,因此 有 事件 
Bad" 的 发 生 概率 为 Pr[ Bad' ]—e/1. 

下 面 假设 Bad' 发 生 , 这 时 m^ 就 是 敌手 的 假冒 消息 ;这 时 B 最 后 接收 到 的 消息 必然 是 
一 个 合法 的 MAC 值 (对 应 验证 密 钥 正 是 N* ), 即 

C=C =MACy: i ) 
而 且 A 从 未 生成 过 对 应 消息 的 这 个 MAC 值 (注意 A 从 未 被 “发 送 消息 m 给 B” 的 外 部 请 
求 激活 过 ,当然 可 以 预先 已 经 假定 任何 一 方 不 会 两 次 发 送 同一 消息 ,这 在 技术 上 很 容易 做 
到 ,如 附加 时 间 戳 等 ;另外 ,任何 两 个 消息 对 应 同一 密 钥 IN" 的 概率 是 1/2*)。 总 之 可 以 看 出 ， 
下 从 未 用 消息 mr* 询问 过 MAC Oracle MACN- ,因此 

C=C* = MACy: i) 
是 一 个 成 功 的 伪造 , 即 下 以 概率 e/ 1 成 功 伪造 了 一 个 新 消息 的 MAC 值 ,如 果 e 是 不 可 忽略 
函数 ,必然 s/! 也 是 不 可 忽略 概率 ,这 与 MAC 算法 是 安全 的 前 提 条 件 矛 盾 。 因 此 e=p(n) 
是 可 忽略 的 。 

综 上 所 述 可 以 看 到 ,事件 Bad 至 多 以 概率 p—OC/| DD o p(n) RA XE p(n) EAT BW 
略 函 数 。 

文献 L[25] 中 还 指出 : 对 于 较 复杂 协议 ,可 以 直接 以 安全 的 会 话 密 钥 分 配 协议 为 MT 认 
证 器 , 即 每 次 发 送 消息 时 ,首先 通信 双方 调用 安全 的 会 话 密 钥 分 配 协议 得 到 会 话 密 钥 KM 
后 对 所 有 要 传送 的 消息 m 采 取 (m,MACx(m)) 传 送 方式 。 显然 ,这 可 以 自然 推广 到 基于 口 
令 的 安全 协议 ,这 时 PSKD 协议 (基于 口令 的 会 话 密 钥 分 配 协议 ) 就 是 一 个 PMT 认证 器 。 

3. 设计 基于 口令 的 安全 协议 的 一 般 方法 

至 此 可 以 利用 推广 后 的 安全 协议 模块 化 设计 与 分 析 理 论 研 究 各 类 基于 口令 的 安全 协 
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议 , 其 一 般 设 计 方法 如 下 。 

CD 设计 PMT 认证 器 (如 上 述 给 出 的 Amac) o 

(2) 设计 在 理想 认证 模型 中 可 证 明 安全 的 基于 口令 的 安全 协议 Paus. 

(3) 根据 PMT 认证 器 给 出 基于 口令 的 协议 认证 器 (编译 器 )C; , 即 任何 消息 传递 都 通过 
PMT 实现 。 

(4) 使 用 C, 编译 得 到 现实 模型 中 可 证 明 安全 的 基于 口令 的 安全 协议 P。 

利用 这 种 方法 ,有 助 于 实现 基于 口令 的 安全 协议 设计 与 分 析 的 系统 工程 化 ,也 有 助 于 在 
设计 阶段 即 可 排除 可 能 的 问题 和 宛 余 步骤 。 


3.5.5 基于 口令 的 会 话 密 钥 分 配 协议 
下 面 将 利用 PMT 认证 器 hwac 为 基本 模块 构造 基于 口令 的 会 话 密 钥 分 配 协议 As o 


1. 理想 认证 模型 中 可 证 明 安 全 的 会 话 密 钥 分 配 协议 U-- 

无 妨 记 基于 口令 的 会 话 密 钥 分 配 协议 为 PSKD 协议 。 由 于 理想 认证 模型 中 只 存在 被 
动 敌 手 , 因 此 协议 的 安全 性 就 是 指 会 话 密 钥 的 机 密 性 。 首 先 给 出 理想 认证 模型 中 安全 的 
PSKD 协议 Xiawwpw , 即 著名 的 Diffie-Hellman 协议 ,简称 为 DH 协议 。 

1) DH 协议 

参数 设置 : 公开 素数 p、q, 满 足 gq1(p 一 1),g BARR F, 的 一 个 gq 阶 生成 元 ;通信 双方 
A( 发 起 方 )、B 共享 秘密 口令 字 pw( 由 于 是 在 理想 认证 模型 中 ,实际 上 并 不 需要 pw). 

协议 执行 : 发 起 方 A 随机 选取 zx Er2; ,发 送 消息 a" mod p 给 收 方 B; 接 到 消息 后 ,B 
随机 选择 yErZ; ,发 送 消息 g*mod p HA, 

DH 协议 的 执行 结果 : 通信 双方 AB i MIE Si HA K = K, = g) =Kp=(g")” 
= g” mod 5, 

定理 3.1255 在 CDH( 计 算 Diffie-Hellman) 问 题 难 解 的 意义 下 ,以 上 的 DH 协议 在 理 
想 认 证 模型 中 是 安全 的 。 

2) 对 DH 协议 的 进一步 修改 一 一 同时 生成 多 重 会 话 密 钥 

为 了 更 好 地 确保 共享 会 话 密 钥 K— K.— Ks 的 品质 ,隐藏 密 钥 数据 的 统计 结构 ,引入 安 
全 Hash 函数 互 :{0,1 六 一 {0,1), 即 在 不 增加 协议 交互 步 又 的 前 提 下 ,把 共享 会 话 密 钥 修 
BA: K=H(g*||A||1B)。 由 于 理 是 伪 随 机 函数 ,因此 密 钥 数据 的 统计 结构 被 有 效 “ 庶 
项 ,在 RO 模型 中 ,这 样 的 协议 当然 还 是 安全 的 。 

文献 [38] 中 指出 ,在 网 络 通信 中 有 时 要 根据 需要 同时 生成 多 重 会 话 密 钥 ; 基 本 的 要 求 就 
是 实现 代价 要 尽 可 能 低 , 同 时 抵抗 已 知 会 话 密 钥 攻击 。 

基于 这 种 考虑 ,协议 可 进一步 修改 为 : 仍然 不 增加 交互 步骤 ,生成 双重 共享 会 话 密 钥 

K, = H(g? | A || B).K, = H(g? | Ki)s Kn = HX? | Ka? 

这 里 m 自然 应 该 限制 在 多 项 式 数量 级 。 

在 RO 模型 中 ,上 述 修改 协议 仍然 是 安全 的 。 在 RO 模型 中 Hash 函数 视 为 随机 函数 ， 
Bp Hash 函数 的 输出 并 不 依赖 于 输入 ,因此 即使 已 经 暴露 任意 (m 一 1) 个 会 话 密 钥 ,无 妨 假设 
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就 是 Ki ,… ,KK,1, 基 于 CDH 假设 gs 仍然 未 知 ;敌手 只 能 做 多 项 式 次 Oracle 询问 ,因此 根 
据 RO 模型 方法 论 ,任何 求解 K,, 的 PPT 算法 的 成 功 概率 仍然 是 可 忽略 的 。 因 此 得 到 以 下 
推论 。 

推论 3.2 在 CDH 问题 难 解 的 意义 下 ,如 上 修改 后 的 DH 协议 ,在 理想 认证 模型 中 是 
安全 的 。 


2. 把 修改 后 的 DH 协议 “编译 ”成 现实 模型 中 的 PSKD 协议 hew 
利用 PMT 认证 器 hwc 构 造 协议 编译 器 或 认证 器 C,, 就 得 到 现实 模型 中 安全 的 PSKD 
协议 hv o 

参数 生成 是 类 似 的 ,协议 执行 过 程 如 下 。 

(D A 随机 选取 zE2; ,发 送 En (ge AMT B。 

(2) B REPLI Ew (g) yE Z; ,发 送 Ew (CAA. 

(3) A 收 到 消息 后 ,经 解密 运算 得 到 g? ,发 送 CA =MACy CA Bg 028 BX N— g^. 
(4) B 发 送 Cs 二 MACn(B,A,g’) 给 A, 

协议 执行 结果 : A、B 达成 多 重 共享 会 话 密 钥 。 
K,= H(g” | Al D,K; = H(g” || K, | A|| BD», K, = H(g” || K, || Al BD 
定理 3.13 在 以 上 条 件 下 Ay RAH PSKD。 

证 明 由 定理 3. 11, 显 然 成 立 。 


3. PSKD 协议 Mhww 的 其 他 性 质 分 析 

从 上 述 PSKD 协议 的 构造 原理 易于 看 出 ,除了 实现 效率 较为 理想 之 外 ,PSKD 协议 hew 
还 满足 前 向 安全 性 (Forward Security): 即使 某 次 通信 结束 后 ,秘密 口令 字 pw 泄漏 ;这 时 ， 
当前 时 刻 的 会 话 密 钥 以 及 之 前 的 所 有 会 话 密 钥 仍然 是 安全 的 。 原 因 在 于 会 话 密 钥 并 不 直接 
依赖 于 口令 字 。 前 向 安全 性 在 降低 系统 安全 风险 方面 发 挥 着 重要 作用 ,如 下 文 要 介绍 的 口 
令 更 换 协议 。 

另外 前 面 还 指出 ,对 于 较 复 杂 的 基于 口令 的 安全 协议 ,直接 以 Awnc 为 基本 模块 构造 协 
议 认 证 器 还 是 比较 麻烦 。 如 前 所 述 ,事实 上 协议 编译 器 C, 还 可 以 直接 用 会 话 密 钥 分 配 协议 
Ap A PMT 认证 器 构造 : 这 时 所 有 的 消息 传送 都 要 先 经 过 调用 Aow ,然后 再 以 

Gn; MACx, (mi)) i=1,2,.…,m 

的 形式 发 送 消息 。 

可 以 看 出 ,由 于 具有 同时 生成 多 重 会 话 密 钥 的 性 质 ,因此 只 需 调 用 一 次 协议 就 足以 满足 
复杂 协议 多 次 收发 消息 的 需求 。 


3.5.4 口令 更 换 协 议 的 模块 化 设计 与 分 析 


设计 PPC 协议 的 难点 之 一 在 于 ,必须 兼顾 考虑 对 原 有 口令 、 待 更 换 口 令 的 “双重 字典 攻 
击 ? 问 题 。 文 献 [34] 中 协议 的 缺陷 主要 有 两 点 : 没有 考虑 到 “双重 字典 攻击 ”问题 ;认证 措施 
不 完备 。 本 节 考 虑 利用 协议 的 模块 化 设计 与 分 析 观 点 研究 PPC 协议 , 即 提出 PPC-New 
协议 。 
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l. 理想 认证 模型 中 安全 的 PPC 协议 一 一 PPCiae 

在 理想 认证 模型 中 要 安全 传送 由 A 产生 的 新 口令 是 很 容易 的 : 只 需 利用 某 安 全 对 称 加 
密 算法 已 加 密 传送 pw CD 即 可 : 设 调用 PSKD 协议 产生 的 会 话 密 钥 为 Ki 一 H(g”* || AI 
B) ,只 需 加 密 传送 消息 m— E, (pw ) 给 收 方 B 即 可 。 

PPCiaa 如 下 : 

(D A、B 调用 基于 口令 的 会 话 密 钥 分 配 协议 ,生成 共享 会 话 密 钥 K C HCGg? || A || BD. 

(2) A 传送 消息 m 二 Er (pw) B. 

(3) B 解 密 就 得 到 更 换 后 的 口令 pw’. 

定理 3.14 如果 对 称 加 密 算法 已 是 安全 的 , 则 在 理想 认证 模型 中 4 是 安全 的 。 

WEB] 在 理想 密码 模型 中 上 述 结论 是 显然 成 立 的 。 

事实 上 很 容易 看 出 ,类 似 文献 [36] 中 的 双重 字典 攻击 不 再 成 立 , 因 为 根据 定理 条 件 , 敌 
手 不 可 能 得 到 任何 新 \ 旧 口令 的 关联 等 式 。 


2. 现实 模型 中 的 口令 更 换 协 议 PPC-New 

PPC-New 如 下 : 

COD. A、B 调用 基于 口令 的 会 话 密 钥 分 配 协议 hv, 生 成 共享 会 话 密 钥 K = HO || A || 
B),K,=H(g” || K, || A|| B). 

(2) A 随机 选取 pw’ € DD, 传送 消息 m= Ex, (pw ) 给 收 方 B。 

(3) B 随机 选取 NsE€1{0,1})* RIC, Ex, (Ns)) 给 A. 

(4) A 传送 (m,MACNs (m) ) 给 B. 

B 的 验证 ,接收 过 程 从 略 。 

显然 这 是 利用 PMT 认证 器 hwAc 作 为 基本 模块 得 到 的 现实 模型 中 的 一 种 消息 传送 协 
议 。 还 可 以 直接 以 会 话 密 钥 分 配 协 议 4,w 为 PMT 认证 器 设计 传输 协议 : 设 执行 ltv 后 双方 
得 到 2 重 会 话 密 钥 Ki ,K:;A 随机 选取 pw’ € D. f£3X ili B (m — Ex, (pw 0 MAC, (m)) 给 
收 方 B;B 验证 认证 码 ,如果 接 受 , 则 ALB 双方 已 经 成 功 更 换 了 新 的 口令 pw’. 

这 样 协议 就 得 到 了 进一步 简化 。 

根据 定理 3. 12、 定 理 3. 13 及 推论 3.2 等 易于 看 出 ,口令 更 换 协 议 PPC-New 是 可 证 明 
安全 的 。 

上 面 讨 论 了 基于 口令 的 安全 协议 的 密码 学 理论 基础 ,特别 是 通过 推广 文献 [36] 中 的 观 
点 ,提出 了 研究 这 类 协议 模块 化 构造 理论 ,并 具体 给 出 了 一 个 基于 认证 码 算法 的 PMT 认证 
器 ,这 是 构造 协议 编译 器 的 基本 模块 。 实 践 表 明 , 这 种 方法 具有 一 般 意义 。 

利用 上 述 理 论 工具 还 成 功 设计 了 两 类 基于 Diffie-Hellman 问题 的 安全 协议 : PSKD B 
议和 PPC-New 协议 。 就 PSKD 协议 而 言 , 除 实现 效率 较 高 之 外 ,还 具有 同时 生成 多 重 会 话 
密 钥 的 功能 ,这 种 性 质 最 初 由 文献 [38] 中 提出 ,这 是 一 种 非常 有 用 的 性 质 。 文 献 [38j 中 的 协 
议 也 是 基于 Diffie-Hellman 问题 的 ,但 需要 每 方 一 次 产生 nn 个 随机 数 ,才能 生成 (n 一 1)? 个 
会 话 密 钥 ; 与 之 相 比 ,设计 的 PSKD 协议 生成 多 重 会 话 密 钥 的 效率 更 高 : 每 方 只 需 一 次 生成 
一 个 随机 数 ,就 可 以 安全 生成 满足 任何 实际 需要 的 多 重 会 话 密 钥 。 此 外 ,文献 [38] 中 的 协议 
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并 未 给 出 安全 性 证 明 ,而 在 理想 密码 模型 中 给 出 了 以 上 协议 的 安全 性 证 明 。PPC-New 协议 
和 现 有 结果 "比较 : 尽管 都 是 基于 Diffie-Hellman 问题 的 ,但 由 于 采用 了 模块 化 设计 与 分 
析 的 观点 ,协议 步骤 简洁 明了 ,特别 是 还 具有 可 证 明 安全 性 ;而 PPC 协议 却 不 能 抵抗 “ 双 
重 字典 攻击 ”和 拒绝 服务 攻击 。 

另外 ,由 PSKD 协议 A。 具有 前 向 安全 性 ,易于 推导 出 PPC-New 协议 也 满足 前 向 安全 
性 。 其 应 用 含义 是 : 设 某 一 时 刻 通信 结束 后 , 原 有 口令 字 pw 泄露 , 则 本 次 通信 所 更 换 的 新 
口令 pw' 仍 然 是 安全 的 。 也 就 是 说 , 旧 的 口令 泄露 不 会 造成 任何 安全 损失 。 


3.6 小 结 


本 章 试图 全 面 、 系 统 地 介绍 可 证 明 安全 性 理论 与 方法 的 发 展 历程 、 主 要 研究 方向 有 代 
表 性 的 方法 论 和 重要 结果 ,以 及 作者 的 一 些 研究 成 果 和 观点 。 作 者 认为 读者 要 想 真 正 理解 
和 掌握 这 些 研究 成 果 ,首先 应 精读 文献 [1], 并 仔细 阅读 本 章 所 列 其 余 参考 文献 。 本 章 在 叙 
述 上 尽 可 能 采用 模型 化 观点 ,以 有 助 于 说 明 方法 论 。 关 于 可 证 明 安 全 性 理论 与 方法 的 研究 
综述 可 参阅 文献 [ 39], 关 于 信息 安全 中 的 计算 复杂 性 理论 基础 知识 可 参阅 文献 [40]。 
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Needham 和 Schroeder") f We HE tht T (ERER Dy E I AN BEAT DOT RU IER SL 篇 
系统 地 对 协议 进行 分 析 的 论文 是 Dolev 和 Yao F 1981 年 发 表 的 论文 中 ,这 篇 论文 具有 标志 
性 意义 。 他 们 用 算法 的 手段 分 析 了 两 类 特殊 协议 的 安全 性 。 随 后 , Dolev、Even 和 Karp" 
用 多 项 式 时 间 算 法 对 某 些 特定 类 型 协议 的 安全 性 进行 判定 ,并 且 发 现 这 种 方法 只 适用 于 特 
殊 的 协议 ,对 一 般 的 协议 是 不 可 判定 的 [5 。 

Dolev-Yao 的 工作 开启 了 用 形式 化 方法 分 析 安 全 协议 的 先河 ,为 随后 进行 的 工作 葛 定 
了 基础 。 他 们 定义 了 协议 并 发 运行 环境 的 形式 模型 ,密码 算法 无 关 的 验证 ,以 及 敌手 的 攻击 
行为 等 ,形成 了 后 来 的 所 谓 Dolev-Yao 模型 。 

最 早 用 于 安全 分 析 的 是 由 Millen 开发 的 Interrogator 系统 , 它 的 基本 原理 是 企图 通 
过 遍历 整个 状态 空间 ,找到 协议 安全 的 漏洞 Kemmerer” 5 通过 传统 形式 规范 语言 描述 密 
码 协议 ,与 Millen 相同 的 是 ,他 将 协议 规定 为 状态 机 ,但 是 他 的 系统 中 附着 一 个 证 明 器 ,可 
以 把 一 些 性 质 描述 为 系统 的 不 变量 ,证 明 它们 是 否 被 系统 保持 不 变 。 

在 安全 协议 分 析 领 域 ,如 果 把 Dolev-Yao 的 工作 视 为 形式 化 方法 的 标志 性 工作 的 话 ， 
Burrows、Abadi 和 Needham 的 工作 就 应 该 是 形式 化 方法 的 代表 作 和 里 程 碑 。 他 们 利用 知 
识 和 信念 逻辑 描述 和 推理 认证 协议 。 这 个 逻辑 系统 被 称 为 BAN 逻辑 ( 取 作 者 们 名 字 的 第 
一 个 字母 ) 。 当 时 这 是 一 个 全 新 的 方法 ,用 一 集 公 式 表示 协议 主体 的 信念 ,或 者 知识 ,用 一 集 
推理 规则 从 原 有 的 公式 得 到 新 的 信念 公式 。 这 个 逻辑 可 以 指出 一 些 协议 的 漏洞 。BAN iB 
辑 的 出 现 大 大 激发 了 人 们 应 用 形式 化 手段 分 析 安 全 协议 的 兴趣 。 沿 着 这 个 方法 ,许多 逻辑 
被 构造 了 出 来 ,其 中 大 多 是 BAN 逻辑 的 变种 ,目的 是 弥补 BAN 逻辑 的 不 足 , 如 GNY 逻辑 、 
AT 逻辑 及 SVO 逻辑 等 。 大 多 是 基于 模 态 逻辑 , 模 态 逻辑 的 一 个 特点 就 是 在 多 数 情况 下 是 
可 判定 的 中 。 然 而 ,逻辑 推理 的 方法 有 着 自己 的 不 足 。 主 要 表现 为 逻辑 的 抽象 性 较 高 ,这 种 
抽象 性 往往 会 掩盖 (或 丢掉 ) 协 议 执 行 的 状态 信息 ,因而 难以 完全 反映 协议 运行 的 全 貌 ,有 着 
自身 的 局 限 性 。 

在 BAN 之 后 ,许多 已 有 的 形式 化 方法 逐渐 被 用 于 对 安全 协议 的 分 析 上 。 这 有 两 方面 
的 原因 :其 一 是 受 BAN 逻辑 的 影响 和 启发 ,安全 协议 的 研究 者 寻找 安全 协议 适当 的 验证 工 
具 , 包 括 量 身 定 做 的 和 对 已 经 存在 方法 的 改制 ;其 二 是 为 许多 成 熟 的 形式 化 方法 寻找 有 意义 
的 应 用 领域 。 因 此 , 自 20 世纪 90 年 代 起 ,安全 协议 的 形式 化 分 析 研 究 出 现 了 空前 的 繁荣 景 
象 。 其 中 值得 一 提 的 是 Gavin Lowe 的 工作 59 ,在 这 项 工作 中 ,Lowe 成 功 地 应 用 模型 检测 
的 工具 FDR 发 现 了 Needham-Schroeder 协议 的 一 个 漏洞 。 这 个 结果 对 应 用 模型 检测 的 方 
法 分 析 安 全 协议 有 着 典型 意义 。FDR 是 应 用 进程 代数 -通信 序列 进程 (CSP) 原 理 开 发 的 模 
型 检测 工具 ,其 目的 是 检测 一 个 通信 系统 中 进程 并 发 运行 的 性 质 。 对 于 安全 协议 的 成 功 应 
用 ,激发 了 模型 检测 技术 领域 的 研究 热情 。 不 仅 如 此 ,这 个 漏洞 的 发 现 使 得 人 们 更 加 清醒 地 
认识 到 安全 协议 分 析 的 复杂 性 ,因而 系统 化 的 分 析 方法 显得 愈 发 重要 。 

在 这 两 类 方法 之 后 ,较为 新 颖 的 方法 就 是 类 型 检测 (Type Checking) Jr 150? ,这 个 方 
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法 利用 Spi 演算 系统 "3 ,给 每 个 通道 和 消息 赋予 类 型 ,将 协议 的 安全 性 目标 的 达到 归结 为 
协议 执行 过 程 中 类 型 的 保持 。 类 型 的 破坏 将 导致 安全 性 的 丧失 。 

还 有 一 类 基于 定理 证 明 的 方法 ,这 种 方法 的 主要 目的 是 证 明 协议 的 正确 性 。 对 于 不 正 
确 的 协议 往往 缺乏 提供 有 用 参考 的 能 力 。 最 具 代 表 性 的 有 :Paulson 的 归纳 证 明 法 "9 
Thayer Fábrega, Hertzog 和 Guttman 等 提出 的 串 空间 模型 (Strand Space)05 。 定 理 证 明 
的 方法 可 以 通过 定理 证 明 器 协助 完成 证 明 过 程 。 串 空间 模型 是 用 图 的 形式 表达 协议 的 执行 
过 程 。 协 议 的 一 个 丛 就 是 协议 的 一 个 并 发 运行 。 协 议 的 安全 性 质 通 过 所 有 丛 保 持 的 性 质 来 
刻画 。 利 用 串 空间 原理 ,Song 发 展 了 一 种 自动 检测 工具 Athena? 。 

值得 指出 的 是 ,Blanchet" ”提供 了 使 用 进程 演算 来 描述 协议 并 通过 求解 器 进行 自动 验 
证 的 方法 。 它 在 pi 演算 中 加 入 了 一 些 密码 原 语 ,该 进程 演算 将 事件 扩充 进来 ,用 以 描述 对 
应 性 。 这 些 事件 只 是 用 来 表示 协议 , 而 不 用 于 证 明 对 应 性 。 然 后 协议 被 自动 转换 为 一 组 
Horn 子 句 。 最 后 ,将 这 些 子 句 传 给 一 个 基于 归结 (Resolution-Based) 的 求解 器 。 该 求解 器 
并 非 总 是 终止 的 ,但 它 对 一 种 经 过 标记 的 协议 来 说 是 终止 的 。 实 验 结果 表明 , 它 对 很 多 协议 
都 是 终止 的 。 此 方法 的 优点 是 : 它 是 完全 自动 的 ,用 户 只 需 对 协议 和 要 证 的 对 应 性 进行 编码 
即 可 ; 它 不 限制 协议 会 话 的 数目 及 敌手 可 处 理 的 项 的 规模 ; 它 可 处 理 很 通用 的 密码 原 语 , 包 
括 共享 密 钥 加 密 、 公 钥 加 密 、 签 名 、 单 向 Hash 函数 及 Diffie-Hellman 密 钥 协商 ; 它 有 明确 的 
语义 基础 。 此 方法 的 缺点 是 : 个 别 时 候 算法 不 终止 ,同时 该 技术 是 不 完备 的 ,向 Horn FAJ 
的 转换 引入 了 一 种 抽象 ,该 抽象 无 法 记 住 每 个 行为 副本 的 编号 。 这 种 抽象 对 于 处 理 无 穷 会 
话 来 说 是 关键 的 ,也 正 是 这 种 抽象 提供 了 证 明 对 应 性 的 充分 条 件 , 但 对 正确 协议 可 能 会 失 
败 。 基 本 上 ,在 证 明 那 些 开 始 时 需要 对 一 些 值 保密 ,之 后 又 需要 公开 这 些 值 的 协议 时 会 失 
败 。 在 实践 中 ,该 工具 仍然 是 很 精确 的 ,在 证 明 那 些 正确 的 协议 时 它 总 是 成 功 的 。 

在 基于 Dolev-Yao 模型 的 安全 协议 形式 化 分 析 方法 蓬勃 发 展 时 期 ,另外 一 种 基于 计算 
复杂 性 的 安全 性 证 明 方法 也 悄悄 兴起 。 后 一 种 方法 就 是 在 第 3 章 介绍 的 可 证 明 安 全 性 方 
法 。 普 遍 的 认识 是 :基于 计算 复杂 性 的 方法 是 (密码 学 ) 可 靠 的 。 而 (大 多 数 ) 建 立 于 Dolev- 
Yao 模型 之 上 的 形式 化 方法 没有 真正 建立 起 密码 学 的 可 靠 性 。 因 此 ,将 这 两 种 方法 统一 到 
一 个 框架 之 中 ,建立 形式 化 方法 的 可 靠 性 弥补 其 不 足 之 处 就 成 为 当务之急 。 近 年 来 ,人 们 的 
注意 力 集中 到 突破 Dolev-Yao 模型 之 上 ,以 及 证 明 形式 化 方法 的 密码 学 可 靠 性 的 结果 上 。 
也 就 是 两 种 方法 的 融合 ,人 们 也 把 这 种 方法 称 为 混合 方法 。 

Abadi 和 Rogaway"*" 定义 了 加 密 表达 式 的 简单 语言 ,证 明了 如 果 两 个 表达 式 模型 逻 
辑 公式 等 价 , 则 它们 在 计算 的 解释 下 ,根据 计算 不 可 区 分 的 标准 概念 是 等 价 的 。Micciancio 
和 Warinschi?? 做 了 进一步 研究 ,证 明了 如 果 使 用 充分 强 的 加 密 方案 ,任何 两 个 表达 式 计算 
等 价 当 且 仅 当 它们 可 以 在 逻辑 下 等 价 。Gligor 和 Horvitz? 精确 刻画 了 这 种 等 价 成 立 对 于 
加 密 方 案 的 要 求 。Micciancio 和 Warinschir 轨 进一步 给 出 具有 主动 敌手 的 安全 协议 安全 性 
证 明 的 方法 ,这 是 第 一 个 将 具有 主动 敌手 的 简洁 的 逻辑 转换 成 标准 计算 情形 下 的 结果 。 

值得 注意 的 是 Inpagliazzo 和 Kapron” 的 结果 ,这 个 结果 也 是 沿 着 Abadi 和 Rogaway 
的 路 线 ,他 们 给 出 了 两 个 逻辑 系统 推理 关于 标准 密码 安全 定义 可 靠 的 密码 构造 。 论 文 的 一 
个 新 颖 之 处 是 , 某 些 证 明 利 用 了 模型 论 非 标准 分 析 手 段 。 

Backes, Pfitzmann 和 Waidner 等 人 [六 给 出 了 一 个 密码 可 靠 的 所 谓 的 “密码 库 ”(cypto- 
library) :证 明了 由 Dolev-Yao 模型 的 要 素 构 成 的 抽象 库 , 在 任意 主动 敌手 存在 的 情况 下 , 任 
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意 协 议 环境 下 对 于 任意 安全 性 质 ,可 以 密码 实现 。 这 个 库 包 括 公 和 钥 加 密 、 数 字 签名 、 新 鲜 值 、 
列表 操作 和 应 用 数据 ,主要 来 源 于 任意 密码 安全 的 公 钥 加 密 、 签 名 系统 ,通过 附加 的 诸如 标 
签 和 随机 化 的 操作 增强 其 功能 。 主 体 的 行为 环境 是 交互 式 的 ,也 有 主体 的 模型 .交互 模型 及 
敌手 模型 。 其 安全 刻画 也 是 利用 模拟 的 思想 ,计算 不 可 区 分 的 机 制 实现 。 

正如 前 面 所 述 , 参 加 协议 运行 的 主体 有 两 类 :一 类 是 诚实 主体 ,在 协议 中 的 行为 一 直 按 
照 协 议 的 规范 进行 ,如 果 收 到 不 合 规范 的 消息 , 则 认为 与 自己 无 关 ; 另 一 类 主体 就 是 所 谓 的 
敌手 ,或 者 称 为 人 侵 者 。 对 于 多 数 协议 来 说 ,可 以 认为 只 有 一 个 敌手 。 他 的 能 力 的 强 弱 直 接 
反映 到 我 们 使 用 的 敌手 模型 之 中 。 

形式 化 分 析 方法 中 最 为 流行 的 敌手 模型 是 DY 模型 中 。 在 协议 运行 的 开始 或 者 运行 过 
程 中 ,敌手 可 以 窃听 、 消 去 以 及 任意 安排 公开 通信 通道 上 的 消息 。 他 也 可 以 从 观察 到 的 消息 
产生 新 的 消息 ,并 将 其 加 入 到 信道 之 中 。 敌 手 可 以 将 非 加 密 消息 分 成 若干 个 新 的 消息 或 者 
将 若干 个 已 知 的 消息 合并 生成 一 个 新 的 消息 。 敌 手 可 以 用 自己 已 知 的 密 钥 对 任意 的 消息 加 
密 。 敌 手 还 可 以 解密 一 个 收 到 的 密 文 ,前 提 是 敌手 知道 正确 的 密 钥 。 敌 手 可 以 根据 需要 , 截 
断 信道 上 传输 的 任何 消息 ,注入 自己 产生 的 新 的 消息 ,发 送 该 消息 至 依赖 的 目标 主体 或 者 任 
何其 他 主体 。 

形式 化 分 析 方 法 的 通常 做 法 是 :把 协议 视 为 状态 迁移 系统 ,分 析 所 有 可 能 的 轨迹 
(Trace) 。 判 定安 全 性 质 是 否 在 所 有 的 轨迹 上 被 保持 。 在 众多 的 以 轨迹 为 主 的 模型 中 ,应 用 
最 广 的 有 CSP?) ,高 阶 逻 辑 59 、 多 集 重 写 系 统 ' ”中 及 串 空间 中 等 。 

由 于 篇 幅 的 限制 ,为 了 使 得 读者 理解 典型 的 技术 特点 ,本 章 选 择 了 一 些 影 响 较 大 的 系统 
进行 技术 分 析 , 主要 包括 BAN GE fU Kailar 3£ Hf"), Paulson 的 定理 证 明 系 统 09 、 
Blanchet 的 自动 验证 系统 。 同 时 ,本 章 也 介绍 了 形式 化 方法 的 计算 可 靠 性 (Soundness, 有 的 
学 者 也 翻译 成 合理 性 ) 方 面 的 研究 成 果 。 希 望 能 够 通过 分 析 , 掌 握 基 本 的 分 析 思 想 和 手段 ， 
为 读者 进一步 研究 提供 必要 的 基础 。 


4.1 BAN 逻辑 


BAN 逻辑 是 用 来 表达 并 证 明 安全 协议 中 信任 关系 的 一 种 认证 逻辑 ,由 Burrows, Abadi 
和 Needham 3 A^? T 20 世纪 80 年 代 未 90 年 代 初 提出 。 它 将 逻辑 方法 引入 到 安全 协议 
验证 中 , 极 大 地 激发 了 一 批 研究 者 投入 到 安全 协议 的 形式 化 分 析 研究 中 ,成 为 安全 协议 分 析 
的 一 个 里 程 碑 。 


4.1.1 基本 术语 


在 BAN 逻辑 中 有 主体 、 密 钥 、 语 句 等 几 种 对 象 。 一 般 用 符号 ABS 表示 特定 主体 ; 
Ka Ky Ky Fea te ESS BA K, KK, 表示 特定 的 公 钥 ,而 KL Ky! Ko! 表示 相应 
WALA SN. Nu N. 表示 特定 的 语句 。 符 号 P、Q、R 表示 主体 变量 ;X 了 表示 语句 变量 ;K 
为 密 钥 变 量 。 

以 下 是 BAN 逻辑 中 所 用 到 的 一 些 术语 : 

(1) P believes X: 主 体 P 认为 X WH. 

(2) P sees X,P SIX, 
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(3) P said X:P 曾 说 过 X。 
(4) P controls X; P xt X 具有 控制 权 。 

(5) fresh X :公式 X 是 新 鲜 的 。 

(6) P5Q.P 和 Q 共享 密 钥 天 。 

(7) PAK RP ABI. 

(8) P 二 Q :表示 X 是 一 个 只 有 忆 和 Q 知道 的 秘密 。 
(9) {X)x: 表 示 用 密 钥 KIAR X 的 加 密 。 

(10) —Xy:Xtn X 与 了 的 组 合 , 其 中 Y 为 一 秘密 。 


2 逻辑 规则 


BAN 逻辑 的 规则 主要 有 以 下 几 组 。 
(1) 消息 含义 规则 
P believes Q áp. P sees {X}x 
P believes Q said X 


P believes É Q, P sees {X} x= 
P believes Q said X : 


P believes Q=p, P sees {X}y 
P believes Q said X 


(20 新 鲜 值 验证 规则 


P believes fresh(X), P believes Q said X 
P believes Q believes X 


(3) 控制 规则 
P believes Q controls X, P believes Q believes X 
P believes X 
(4) 看 到 规则 
K 
P sees(X,Y) P sees X >y P believes QP, P sees (X)x 
PsesX " PsesX ^" P sees X , 


K K 
P believes >P , P sees {X}x P believes >Q, P sees (X) 


P sees X P sees X 
(5) 新 鲜 性 规则 
P believes fresh(X) 
P believes fresh( X,Y) 
3 分 析 实 例 
利用 BAN 逻辑 分 析 协 议 的 步骤 如 下 。 


(1) 给 出 协议 目标 。 
(2) 由 最 初 的 协议 得 到 理想 化 协议 。 
(3) 给 出 初始 假设 。 
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(4) 根据 逻辑 规则 推理 协议 目标 。 

下 面 以 Kerberos 协议 为 例 给 出 一 个 验证 实例 。 

1. Kerberos 协议 

Kerberos 协议 通过 一 个 认证 服务 器 的 帮助 ,在 两 个 主体 之 问 建立 了 一 个 共享 密 钥 VÀ 
下 给 出 该 协议 ,其 中 A、B 分 别 表示 两 个 主体 ,S 表示 认证 服务 器 ,K.. 为 A 和 S 的 共享 密 钥 ， 
Kw 为 B 和 S 的 共享 密 钥 ,T, 和 T, 分 别 为 S 和 A 生成 的 时 间 戳 , 工 为 S 生成 的 生命 周期 ， 
第 4 个 消息 仅 在 需要 相互 认证 时 用 到 。 

Message 1. A — S: A, B. 

Message 2. S 一 Ai(T,, L, Ky, B, (T, L, Kas Aj, }r,. 

Message 3. A > Bi( T, L, Ka Al, » (As Takao 

Message 4. B > A:{T,+1}x,. 


2. 协议 理想 化 
对 Kerberos 协议 进行 理想 化 可 得 到 : 
Ky Ky 

Message 2. S ~ A:{T.,A<>B, (T., A+B} x, jx 
K, K, 

Message 3. A > B:{T,, A < SB) x,, » (I, A «5 B} x, from A. 
K 

Message 4. B > A:{T,, A —B)y, from B. 

3. 协议 目标 

Ky Ky 
A believes A 4—*B B believes A «>B 


K, K, 
A believes B believes A <>B B believes A believes A ——-B 


4. 初始 假设 

A believes 4 心 S， B believes B 心 S， 

S believes A e, S believes B eus 

S believes A IB, B believes (S controls A -5.p) B 


A believes(S controls A -5B )， B believes freshC T.) . 

A believes freshC T.) . B believes fresh(T, ). 

在 分 析 Kerberos 协议 时 ,可 将 规则 应 用 于 以 上 的 假设 。 这 种 分 析 是 很 直观 的 ,为 简单 
起 见 ,这 里 只 给 出 关于 消息 2 的 形式 细节 ,而 省 略 其 他 细节 。 

5. 协议 分 析 

A 收 到 消息 2, 则 

A sees{T,, CA ">B), {T,, A eB}e }x, 
在 此 之 后 成 立 。 由 于 有 假设 
A believes A <S 

应 用 共享 密 钥 的 消息 含义 规则 可 得 
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A believes S said (T,, A «^B, {T,, A B) ) 
由 组 合 拆 分 规则 (此 处 省 略 ) 之 一 可 得 
A believes S said (T,, (A 2B) 
另外 ,还 有 以 下 假设 : 
A believes fresh(T,) 
根据 新 鲜 值 验证 规则 可 得 


K, 
A believes S believes (T,, (A —.B) 
同样 , 拆 分 一 个 组 合 可 得 


A believes S believes A B 
然后 ,将 以 下 假设 中 的 天 实例 化 为 天 。 


A believes (S controls A <<-B) 


可 以 得 到 更 为 具体 的 公式 


K, 
A believes CS controls A 4—-B) 


最 后 根据 控制 规则 有 


A believes A a B 
这 就 是 对 消息 2 进行 分 析 所 得 到 的 结论 。 
和 A 将 票据 连同 男 一 个 包含 时 间 截 的 消息 传 给 B,B 起 初 只 能 解密 票据 : 


B believes A Eh 

从 逻辑 上 来 说 ,得 到 这 一 结果 所 使 用 的 方法 与 分 析 消 息 2 时 的 方法 相同 , 即 先 使 用 消息 
含义 规则 ,再 使 用 新 鲜 值 验证 规则 ,最 后 使 用 控制 规则 。 

知道 了 新 的 密 钥 ,使 得 B 可 以 解密 消息 3 的 剩余 部 分 。 根 据 消息 含义 规则 和 新 鲜 值 验 
证 规则 可 得 

B believes A believes A zx 

第 4 个 消息 只 是 简单 地 向 A (RUE T B 相信 密 钥 , 且 收 到 了 A 的 最 后 一 个 消息 ,再 次 将 

消息 含义 规则 和 新 鲜 值 验证 规则 应 用 于 消息 4, 得 到 最 终 的 结果 如 下 : 


Ky Ky 
A believes A «>B B believes A «>B 


A believes B believes A zip B believes A believes A 258 

BAN 逻辑 主要 用 来 对 认证 协议 进行 形式 化 分 析 , 从 上 述 内 容 可 见 ,BAN 逻辑 非常 简洁 
且 分 析 过 程 也 很 简单 ,这 些 优点 使 得 BAN 逻辑 在 提出 以 后 受到 人 们 的 广泛 关注 。 然 而 , 随 
着 进一步 的 研究 ,人 们 发 现 BAN 逻辑 也 还 存在 不 少 缺 点 ,如 缺乏 严格 的 逻辑 语义 ,协议 的 
理想 化 过 程 受 人 为 影响 太 大 等 。 沿 着 这 一 方向 ,人 们 又 做 了 进一步 研究 ,形成 了 BAN 家 
族 一 一 BAN 类 逻辑 。 如 今 ,人 们 已 经 很 少 直接 用 BAN 逻辑 本 身 对 协议 进行 验证 了 ,但 其 
思想 对 后 来 的 研究 甚至 未 来 的 研究 仍然 具有 很 重要 的 指导 意义 。 
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4.2 Kailar 逻辑 


在 网 络 上 进行 的 电子 商务 与 传统 商务 相 比 有 很 多 优点 , 它 给 商业 领域 所 带 来 的 影响 将 
是 革命 性 的 。 然 而 ,如 果 网 络 上 的 电子 交易 不 能 提供 与 传统 交易 相 类 似 的 可 追究 性 ,那么 它 
无 疑 会 使 交易 方 之 间 产生 争端 ,从 而 影响 电子 商务 的 应 用 和 发 展 。Kailar 逻辑 便 是 为 分 
析 电 子 商务 协议 的 可 追究 性 而 提出 的 。 


4.2.1 基本 术语 


Kailar 逻辑 可 以 对 协议 中 主体 的 证 明 能 力 进行 分 析 , 即 主体 证 明 通信 协议 中 消息 来 源 
的 能 力 。 协 议 的 主体 通常 用 大 写字 母 A,B,… 来 表示 。 由 每 个 消息 所 构造 的 声明 是 对 该 消 
息 的 解释 ,声明 通常 由 小 写字 母 x,y,… 来 表示 。 在 Kailar 逻辑 的 分 析 框 架 中 ,声明 z 的 证 
明 是 为 了 让 其 他 主体 相信 该 声明 而 不 是 让 主体 自身 相信 它 。 根 据 证 明 者 的 证 明 能 力 , 有 以 
下 两 种 类 型 的 证 明 。 

(1) 强 证 明 :A CanProve x 

如 果 对 任意 主体 B, 主 体 A 通过 执行 一 系列 操作 可 以 让 B HR r ALKAN B 泄露 
任何 非 z 的 秘密 , 则 称 主体 A 能 够 证 明 声明 zz 。 

(2) 弱 证 明 :A CanProve x to B 

弱 证 明 的 含义 与 强 证 明 类 似 ,只 是 此 处 的 主体 B 表示 一 个 特定 主体 而 非 任意 主体 。 

以 下 是 Kailar 逻辑 中 用 到 的 一 些 表 达 式 : 

COD 签名 认证 :K Authenticates A 

该 式 表明 , 密 钥 K 可 用 于 认证 主体 A 的 签名 。 

(2) 消息 解释 :z inm 

工 是 消息 m 的 字段 或 组 合 字段 的 解释 ,这 种 解释 是 特定 于 协议 的 。 

(3) 声明 :A Says x 

它 表示 主体 A 对 声明 xz 以 及 xz 所 蕴涵 的 声明 负责 。 当 主体 所 说 的 声明 是 由 两 部 分 组 
成 时 ,这 两 部 分 它 都 要 负责 ,这 一 点 在 下 文中 将 被 隐 式 地 使 用 。 

(4) 消息 收据 :A Receives m SignedWith K^' 

它 表示 主体 A 收 到 以 天 一 签名 的 消息 。 

(5) 信任 :A IsTrustedOn x 

该 式 表明 ,就 声明 z 来 说 ,A 是 可 信 的 。 


4.2.2 逻辑 规则 


Kailar 逻辑 的 规则 如 下 : 

A CanProve zi A CanProve y 
A CanProve (x A y) 

A CanProve x; x > y 
A CanProve y 


Conj : 


Inf : 


"e REKK_BKSTER 


A Receives (m SignedWith K^); x in m;A CanProve (K Authenticates B) 
A CanProve (B Says x) 
A CanProve (B Says x); A CanProve (B IsTrustedOn x) 
A CanProve x 


Sign : 


Trust : 


4.2.3 分 析 实 例 


利用 Kailar 逻辑 分 析 协 议 的 步骤 如 下 。 

CD 给 出 协议 的 可 追究 性 目标 。 

(2) 解释 协议 消息 。 

(3) 给 出 初始 假设 。 

(4) 分 析 协 议 的 可 追究 性 。 

下 面 以 Medvinsky-Neuman 协议 9 为 例 给 出 协议 分 析 实 例 。 通 过 这 个 例子 可 以 看 出 ， 
Kailar 逻辑 在 协议 可 追究 性 分 析 方 面 的 能 力 。 

1. Medvinsky-Neuman 协议 

Message 1. A > B: Kan 

Message 2. B — A: {Kon} xy 

Message 3. A — B; ((coins)gz , SKam, Kos» Sa) 


Message 4. B — CS; (coins) zi » SKpy, transaction] xo 


Key 


Message 5. CS — B: (new. coins) x } sk gy 

Message 6. B — A; ( (amount, Ta, date} kal } s 

其 中 公 钥 用 K 加 上 其 拥有 者 名 字 的 下 标 来 表示 ,如 果 下 标 以 N 结尾 ,表明 该 公 钥 是 新 
生成 的 , 并 未 到 处 广播 。 对 称 加 密 系统 的 密 钥 用 SK 加 个 下 标 来 表示 。 协议 中 的 
transaction 表示 主体 间 的 货币 交易 。 在 该 协议 开始 时 的 消息 1 和 消息 2 中 ,付款 人 A 得 到 
Wea A B. 的 密 钥 , 收 款 人 使 用 该 密 钥 保持 其 身份 的 匿名 。 在 消息 3 中 ,A 发 送 了 款项 、 希 望 
提供 的 服务 以 及 两 个 密 钥 SK ann 、K ,这 些 均 用 B 所 提供 的 密 钥 进行 了 加 密 。 

使 用 Kcs,B 可 以 验证 所 收 货币 是 有 效 的 ( 即 它 是 由 有 资质 的 货币 服务 方 提 供 的 )。 会 
WEH KK 主要 用 来 使 B 在 服务 过 程 中 识别 A 。B 在 收 到 货币 后 通过 消息 4 和 消息 5 来 验 
证 货币 的 有 效 性 ,如 果 货 币 还 未 用 ,服务 方 就 通过 消息 5 向 B 发 出 新 的 货币 (由 于 B. 所 提供 
的 A 发 来 的 货币 可 能 是 由 其 他 货币 服务 方 发 行 的 ,因此 ,新 货币 中 可 将 其 转换 为 本 地 货 
币 ) ,在 消息 6 中 ,了 返回 一 个 用 其 私 钥 签 名 的 收据 ,该 收据 同时 用 SK ea 加 密 以 保密 。 收 据 
包含 了 支付 货币 的 数目 、 日 期 以 及 一 个 唯一 标识 Tu, 该 标识 与 会 话 密 钥 一 起 将 用 于 获取 
服务 。 

2. 协议 目标 

该 协议 有 多 个 目标 ,此 处 主要 关心 其 可 追究 性 。 

G;: B CanProve (A Says coins valid) 

G,; A CanProve (B Says receipt of payment) 


3. 协议 解释 
WA 1.2.3 没 签名 ,所 以 不 用 解释 。 另 外 ,此 处 的 分 析 只 关心 付款 方 与 收 款 方 , 而 消息 
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4 是 由 货币 服务 方 接收 的 ,所 以 也 不 对 其 进行 解释 。 
Message 5. B Receives (coins valid) SignedWith Kc 


Message 6. A Receives (receipt of payment) SignedWith Kg 


4. 初始 假设 
A: A, B, CS CanProve (Kes Authenticates CS) 
A;: B CanProve (CS IsTrustedOn coins valid) 


5. 协议 分 析 
根据 消息 5 的 解释 ,初始 假设 A, ,并 应 用 Sign 规则 可 得 
B CanProve (CS Says coins valid) 
根据 初始 假设 A ,应 用 Trust 规则 可 得 
B CanProve (coins_valid) 

继续 下 去 也 无 法 得 到 G, ,从 而 G 无 法 得 到 证 明 。 

再 看 消息 6。 正 如 Medvinsky-Neuman 协议 的 作者 所 指出 的 那样 ,如 果 A 收 不 到 消息 
6 ,那么 A 就 不 能 证 明 B 收 到 了 款 , 如 果 也 不 诚实 ,他 尽 可 以 收 了 款 却 不 开 收据 。 然 而 ,即使 
A 收 到 了 消息 6, 下 面 的 分 析 表明 , 它 还 有 其 他 问题 存在 , 即 G; 不 成 立 , 从 而 A 无 法 追究 B 
对 其 提供 服务 所 应 负 的 责任 。 

针对 消息 6 的 解释 ,无 法 应 用 Sign 规则 以 推出 

A CanProve (B Says receipt of payment) 
因为 要 对 消息 6 的 解释 应 用 Sign 规则 ,还 需要 条 件 
A CanProve (Kay Authenticates B) 
而 协议 中 的 密 钥 Ka Jee eh B 自 由 选择 的 一 个 密 钥 ,并 不 能 用 于 认证 任何 主体 。 从 而 G 也 
不 满足 。 

当然 ,Medvinsky-Neuman 协议 声称 要 保持 协议 的 匿名 性 ,以 上 分 析 表 明 , 该 协议 不 满 
足 可 追究 性 ,这 一 点 与 匿名 性 是 一 致 的 ,但 当 要 求 交 易 满足 可 追究 性 时 , Medvinsky- 
Neuman 协议 就 不 能 满足 要 求 。 

在 大 多 数 电子 商务 交易 中 ,可 追究 性 是 一 种 重要 的 需求 。 因 为 缺乏 充分 的 证 据 很 容易 
引发 交易 方 之 间 的 争端 。Kailar 逻辑 为 可 追究 性 的 分 析 提 供 了 一 种 系统 的 方法 ,也 为 协议 
设计 者 和 分 析 者 对 消息 进行 显 式 地 解释 提供 了 指导 。 需 要 指出 的 是 ,Kailar 逻辑 只 是 用 来 
分 析 电 子 商 务 协议 可 追究 性 的 一 种 逻辑 , 它 并 不 能 解决 电子 商务 协议 中 的 所 有 安全 问题 。 


4.3 归纳 定理 证 明 方 法 


基于 定理 证 明 的 形式 化 验证 方法 是 对 协议 进行 建 模 或 对 协议 需 满足 的 性 质 进 行 形式 
化 ,应 用 定理 证 明 的 技术 来 证 明 性 质 是 否 在 协议 模型 中 被 满足 。 协 议 可 以 描述 成 一 系列 的 
规则 工 ,协议 需 满足 的 性 质 被 描述 成 男 一 个 公式 $, 然 后 证 明 P>@。 其 目的 是 证 明 协 议 是 
否 满足 某 安 全 性 质 ,从 而 辅助 寻找 对 协议 的 攻击 。 一 般 的 定理 证 明 方 法 有 Paulson 归纳 法 、 
串 空间 模型 和 秩 函 数 等 。 
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4.3.1 归纳 定理 证 明 方 法 概述 


简单 来 说 ,归纳 定理 证 明 方 法 的 基本 思想 就 是 通过 考察 一 系列 的 可 能 或 不 可 能 发 生 之 
类 的 问题 来 实现 证 明 的 目的 。 下 面 是 一 个 假设 的 对 话 例子 。 

推销 员 :协议 运行 结束 后 ,只 有 A 和 B 能 够 知道 会 话 密 钥 Ky. 

顾客 : 偷 听 者 能 得 到 吗 ? 

推销 员 :因为 他 不 能 获得 A 或 B 的 长 期 密 钥 ,所 以 他 不 能 获得 Ka o 

顾客 : 那么 敌手 能 够 欺骗 B 使 得 他 和 B 分 享 一 个 密 钥 吗 ? 

推销 员 :因为 时 限 值 的 使 用 ,避免 了 这 种 情况 的 发 生 。 

推销 员 向 顾客 推销 协议 时 ,声称 该 协议 的 会 话 密 钥 不 会 被 敌手 获得 ,但 是 顾客 也 许 会 提 
出 他 所 担心 的 问题 ,推销 员 针 对 顾客 的 问题 给 出 相应 的 回答 。 当 推销 员 解 答 了 顾客 提出 的 
所 有 问题 之 后 ,顾客 就 可 以 相信 推销 员 的 话 了 。 

归纳 定理 证 明 方法 中 的 一 个 必要 的 形式 化 工具 就 是 归纳 定义 。 每 个 归纳 定义 都 列举 出 
了 所 有 可 能 的 协议 的 动作 ,而 对 应 的 归纳 规则 可 以 让 我 们 推理 出 任意 有 限 序 列 的 这 些 动作 
所 造成 的 结果 。 通 过 对 结果 的 逐一 考察 来 完成 定理 的 证 明 。 

利用 归纳 定理 证 明 方法 来 验证 协议 的 方法 由 Paulson 首先 提出 ,下 文中 称 之 为 Paulson 
归纳 法 。Paulson 归纳 法 假设 有 一 个 Dolev-Yao 模型 下 的 敌手 ,协议 主体 的 每 一 个 动作 定 
义 为 一 个 事件 ,事件 的 有 序 集合 称 为 迹 , 根 据 协议 运行 规则 得 到 的 迹 的 集合 称 为 协议 模型 。 
验证 协议 满足 一 个 性 质 , 即 是 验证 协议 模型 中 的 所 有 迹 都 满足 这 个 性 质 。 

一 般 地 ,基于 归纳 定理 证 明 的 验证 方法 可 以 分 为 以 下 3 步 。 

COD 用 逻辑 符号 对 协议 建 模 。 

(2) 用 逻辑 语言 表达 出 协议 需 满足 的 性 质 。 

(3) 使 用 归纳 证 明 方法 来 证 明 性 质 是 否 满足 。 

第 (1) 步 根据 协议 描述 主体 可 能 的 行为 ,它们 是 通过 一 条 条 规则 来 表达 的 ,这 些 规则 是 
生成 协议 模型 的 基础 。 第 (2) 步 形式 化 地 描述 出 协议 需要 证 明 的 性 质 。 第 (3) 步 使 用 归纳 证 
明 方法 对 性 质 进 行 证 明 , 验 证 由 归纳 规则 得 到 的 所 有 迹 都 满足 该 性 质 。 证 明 时 需要 用 到 定 
理 证 明 器 Isabelle, 

定理 证 明 方法 比 其 他 的 协议 分 析 方法 ,如 模型 检测 ,其 最 大 的 优点 是 避免 了 模型 检测 中 
状态 爆炸 的 问题 ,但 同时 也 带 来 了 其 他 问题 :证 明 过 程 难 以 完全 自动 化 ,使 用 如 Isabelle 这 
样 的 定理 证 明 器 需要 人 机 交互 ,并 需要 人 们 具有 相当 强 的 专业 知识 ,直接 给 证 明 带 来 很 大 的 
困难 。 需 要 指出 的 是 ,即使 没有 证 明 出 结论 来 ,也 不 能 断然 说 结论 是 错误 的 ,很 可 能 是 因为 
证 明 手段 不 够 熟练 导致 的 。 

1. 协议 基本 元 素 形式 化 

主体 是 协议 中 最 基本 的 元 素 , 它 包 括 诚实 的 主体 ,敌手 和 可 信 第 三 方 服务 器 。nat 表示 
自然 数 ,对 于 自然 数 i,Friend i 就 表示 一 个 特定 的 主体 。Server 表示 服务 器 ,Spy 表示 协议 
运行 中 的 敌手 。 主 体形 式 化 为 

datatype agent 一 Server | Friend nat | Spy 
密 钥 在 协议 中 实际 上 可 以 看 作 是 一 个 自然 数 , 密 钥 形 式 化 为 


datatype key 一 nat 
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shrK 是 一 个 由 主体 映射 到 密 钥 上 的 函数 ,表示 主体 的 长 期 密 钥 ,如 shrK A 就 代表 主体 A 
的 长 期 密 钥 。 

主体 之 间 传递 的 任何 东西 都 可 以 看 成 消息 。 它 可 以 做 以 下 递归 定义 ,首先 主体 .时 限 
值 . 密 钥 都 是 消息 ,另外 消息 的 组 合 、 消 息 的 Hash 值 和 用 key 加 密 的 消息 也 是 新 的 消息 。 
定义 如 下 : 


datatype msg= Agent agent 

| Nonce nat 

| Key key 

| Mpair msg msg 

| Hash msg 

| Crypt key msg 

事件 是 指 主体 的 一 个 动作 。 在 Paulson 归纳 法 中 ,允许 主体 有 两 个 动作 ,一 个 是 主体 向 
另 一 个 主体 发 送 消息 msg, 另 一 个 是 主体 记录 消息 msg。 事 件 形式 化 为 : 


datatype event 一 Says agent agent msg 


| Notes agent msg 
在 Paulson JH 4i rf . 9 [8] BR BIE SX (578 "4 BUYER IK HE. CT : event list nat 是 一 个 把 
迹 映射 到 自然 数 的 函数 ,用 来 生成 当前 时 间 戳 ,也 就 是 当前 迹 的 长 度 。CT evs 表示 迹 evs 
的 当前 时 间 戳 。 
expiredK 用 来 表示 会 话 密 钥 已 经 过 期 ,Tk 是 会 话 密 钥 生成 时 的 时 间 惟 ,sesKlife 是 会 
话 密 钥 的 生命 周期 。 如 果 当 前 的 时 间 戳 减 去 会 话 密 钥 生 成 时 的 时 间 改 Tk 大 于 会 话 密 钥 的 
生命 周期 ,说 明 该 会 话 密 钥 已 经 过 期 ,不 能 接受 : 
expiredK Tk evs=(CT evs) —Tk>sesKlife 
expiredA 用 来 表示 认证 子 已 经 过 期 ,Ta 是 认证 子 生 成 时 的 时 间 戳 ,authlife 是 认证 子 
的 生命 周期 。 如 果 当 前 的 时 间 戳 减 去 认证 子 生 成 时 的 时 间 戳 Ta 大 于 认证 子 的 生命 周期 ， 
说 明 该 认证 子 已 经 过 期 ,不 能 接受 : 
expiredA Ta evs— (CT evs) — Ta>authlife 


2. ik 

迹 是 Paulson 归纳 法 中 一 个 非常 重要 的 概念 。 由 事件 构成 的 任意 长 度 的 事件 有 序 集 合 
称 为 迹 , 它 是 构成 协议 模型 的 基础 。 一 条 迹 可 能 描述 了 协议 运行 时 在 信道 上 发 生 的 所 有 事 
件 ,也 就 形式 化 地 描述 了 协议 。 迹 是 有 序 的 ,并 且 是 反 序 的 ,最 近 发 生 的 事件 排 在 最 前 边 。 
注意 , 迹 可 能 是 无 效 的 ,协议 不 可 能 产生 的 事件 列表 是 不 予 考虑 的 ,协议 模型 里 仅 包括 协议 
有 可 能 产生 的 迹 。 


3. 敌手 知识 集 

在 Paulson 归纳 法 中 ,定义 敌手 为 Dolev-Yao 模型 下 的 敌手 ,首先 敌手 是 一 个 合法 的 主 
体 , 能 够 诚实 地 执行 协议 。 然 后 敌手 控制 网 络 信道 ,能 够 窃听 、 截 获 和 修改 信道 上 的 任何 消 
息 , 也 可 以 向 任何 主体 发 送 它 已 知 的 消息 。 最 后 敌手 可 以 对 消息 做 任何 操作 ,比如 分 开本 来 
连接 着 的 消息 ,解密 它 知道 密 钥 的 密 文 消息 ,或 者 根据 已 知 消息 生成 新 的 消息 ,但 是 它 不 能 
在 不 知道 密 钥 的 情况 下 对 密 文 消息 解密 。 


* 


k 
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为 了 表述 敌手 的 能 力 ,Paulson 归纳 法 引入 知识 集 的 概念 。 敌 手 知识 集 是 指 敌 手 在 当 
前 迹 中 所 拥有 的 知识 。bad 是 被 腐化 主体 的 集合 , 它 会 将 长 期 密 钥 和 私 钥 泄 露 给 敌手 。 政 
F Spy 总 是 被 认为 是 属于 集合 bad 的 。initState Spy 表示 协议 运行 前 敌手 的 知识 集 。 它 包 
括 被 腐化 主体 的 长 期 密 钥 ,被 腐化 主体 的 加 密 私 钥 和 签名 私 钥 , 以 及 所 有 主体 的 加 密 公 钥 和 
签名 公 钥 。 形 式 化 为 : 
initState Spy = (Key shrK bad) U 
(Key priEk bad) U (Key priSk bad) U 
(Key range pubEK) U (Key range pubSK) 
仅 有 初始 知识 集 是 不 够 的 , 随 着 协议 的 运行 ,敌手 的 知识 会 越 来 越 多 。 使 用 spies 函数 
来 描述 敌手 的 动态 知识 集 。spies 是 一 个 把 迹 映 射 到 消息 集合 的 函数 spies: event list 
msg set, 用 来 描述 在 特定 的 迹 中 敌手 的 知识 集 。evs RAM, spies 的 递归 定义 如 下 。 
对 于 空 迹 ,敌手 的 知识 集 为 初始 知识 集 : 
spies [ ]—initState Spy 
Says A B X 事件 扩展 原 有 的 迹 evs 形成 新 的 迹 ,敌手 知道 信道 上 任何 主体 发 送 的 消 
息 ,所 以 敌手 在 新 迹 中 的 知识 集 增 加 了 消息 X: 
spies ((Says A B X)#evs)={X}Uspies evs 
Notes A X 事件 扩展 原 有 的 迹 evs 形成 新 的 迹 ,敌手 知道 被 腐化 主体 记录 的 任何 消息 ， 
所 以 如 果 主 体 A 是 被 腐化 的 ,那么 敌手 在 新 迹 中 的 知识 集会 增加 消息 X: 
(X) Uspies evs X A€ bad 


spies ((Notes A X) & evs) — Fia en 其 他 


4. analz,synth, parts,used 操作 符 
仅 由 以 上 的 知识 集 来 描述 敌手 的 能 力 还 是 不 够 的 ,因为 敌手 能 够 拆 分 消息 、 合 成 消息 、 
解密 已 知 密 钥 的 密 文 等 , 故 引入 analz synth, parts, used 操作 符 。 
analz; msg set— msg set 是 一 个 把 消息 集合 映射 到 消息 集合 的 函数 ,用 来 表示 从 已 知 
的 消息 集合 里 分 析出 新 的 消息 。 互 是 一 个 消息 集合 ,analz 递归 定义 如 下 。 
(OD 消息 集合 H 中 的 任意 元 素 属 于 analz H 
X € HX € analz H 
(2) 如 果 连 接 的 消息 {X,Y} 属 于 analz H 3E Z rp 859 8E 35 EA F analz H 
(X. Y) € analz H>X € analz H 
{X.Y} € analz HY € analz H 
(3) 如 果 用 密 钥 K 加 密 的 消息 X 属于 analz H Jf EL 85 9] K 的 解密 钥 也 属于 analz H, 
那么 消息 X 属于 analz H; 
Crypt K X € analz H; Key(invKey K) € analz H—X € analz H 
synth: msg set—msg set 是 一 个 把 消息 集合 映射 到 消息 集合 的 函数 ,用 来 表示 从 已 知 
的 消息 集合 中 合成 新 的 消息 。 互 是 一 个 消息 集合 ,synth 递归 定义 如 下 。 
CD 消息 集合 H 中 的 任意 元 素 属于 synth H: 
X€H-X€synth H 
(2) 任意 主体 都 属于 synth H 
Agent A€ synth H 
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(3) 如 果 消 息 X 属于 synth 互 ,那么 它 的 Hash 值 也 属于 synth H: 
X€synth H>Hash X€ synth H 
(4) 如 果 消 息 X 和 了 都 属于 synth 互 ,那么 合成 的 消息 {X,Y} 也 属于 synth X; 
X€synth H; Y€synth H—(X.Y)€synth H 
(5) 如 果 密 钥 K 和 消息 X 属于 synth H ABA ÉD B. Crypt K X 也 属于 synth H: 
Key KEH; X€synth H=>Crypt K X€synth H 
parts; msg set msg set 是 一 个 把 消息 集合 映射 到 消息 集合 的 函数 ,用 来 表示 从 已 知 
的 消息 集合 映射 和 解密 出 的 所 有 的 消息 ,也 就 是 信道 上 出 现 的 所 有 消息 的 集合 。 互 是 一 个 
消息 集合 ,parts 递归 定义 如 下 : 
COD 消息 集合 H 的 任意 元 素 属 于 parts H: 
X€ 万 一 XEparts H 
(2) 如 果 连 接 的 消息 {X,Y)} 属 于 parts 互 ,那么 其 中 的 每 个 消息 也 属于 parts H: 
{X,Y} € parts HX € parts H 
{X,Y} € parts HY € parts H 
(3) 如 果 用 密 钥 K 加 密 的 消息 X 属于 parts HARA X 也 属于 parts H; 
Crypt K X € parts H—X€ parts H 
很 明显 ,parts 操作 强 于 analz 操作 ,analz HC parts H. 
used; event list*msg set 是 一 个 把 迹 映射 到 消息 集合 的 函数 ,表示 该 迹 中 已 经 使 用 过 
的 消息 集合 ,用 以 支持 新 鲜 性 的 验证 。evs 是 一 个 迹 ,used 的 递归 定义 如 下 : 
CD. 空 迹 的 已 使 用 消息 集合 为 所 有 主体 的 初始 知识 集 的 parts 集合 : 
used[ ]= U B. parts(initStateB) 
(2) 事件 Says A B X 扩展 原 有 的 迹 evs 形成 新 迹 , 可 知 消息 X 在 新 迹 中 使 用 过 ,新 迹 
的 used 集合 需要 增加 进 X 的 parts 集合 : 
used( (Says A B X) &evs) — parts( X) U used evs 
(3) 事件 Notes A X 扩展 原 有 的 evs 形成 新 迹 , 可 知 消息 X 在 新 迹 中 使 用 过 ,新 迹 的 
used 集合 需要 增加 进 X 的 parts 集合 : 
used((Notes A X) # evs) — parts( X) U used evs 


5. 协议 模型 
形式 化 协议 模型 是 协议 所 有 可 能 生成 的 迹 的 集合 ,每 一 个 迹 都 形式 化 了 协议 可 能 的 运 
行情 况 。 协 议 模型 是 归纳 定义 出 的 。 以 自然 数 N 的 归纳 定义 为 例 ,0OEN Ff Hn € N>Suc 
n€ N ,这样 就 定义 出 了 所 有 的 自然 数 , 协 议 模型 定义 方法 与 之 类 似 。 
首先 空 迹 是 属于 协议 模型 的 。 然 后 利用 归纳 规则 ,每 个 归纳 规则 形式 化 协议 一 步 ,这 些 
归纳 规则 说 明了 怎么 用 一 个 事件 扩展 协议 模型 里 原 有 的 迹 形成 新 的 迹 , 新 的 迹 也 是 属于 协 
议 模型 的 。 如 果 协 议 有 nn 步 , 那 么 它 的 模型 里 至 少 包含 个 归纳 规则 ,每 一 条 都 引入 一 个 
Says 事件 。 比 如 协议 里 仅 包括 一 步 :A 习 B : Na, 则 该 步 的 归纳 规则 为 
Tevs € dsp;Nonce Na € used evs] 
=>Says A B {Nonce Na} # evs € dsp 
dsp 表示 协议 模型 ,evs 是 原 有 的 属于 协议 模型 的 迹 , 如 果 时 限 值 Na 在 原来 的 迹 evs 中 
没有 被 使 用 过 ,那么 Says 事件 可 以 扩展 迹 evs 形成 新 的 迹 , 新 迹 是 属于 协议 模型 的 。 
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除了 上 述 的 归纳 规则 ,Fake 规则 允许 敌手 向 任何 主体 发 送 它 伪造 的 消息 :如 果 迹 evsF 
是 属于 协议 模型 的 ,并 且 消 息 X € synth (analz (spies evs) ) ,那么 事件 Says Spy B X 扩展 
原 迹 evsF 形成 的 新 迹 也 属于 协议 模型 。 可 以 看 出 ,该 规则 是 符合 威胁 模型 里 定义 的 敌手 行 
为 的 。 形 式 化 如 下 : 

TevsF € dsp;X € synth(analz(spies evsF))1 
一 Says Spy B X # evsF € dsp 

另外 ,Oops 规则 是 一 个 很 重要 的 规则 。 它 形式 化 了 协议 运行 中 可 能 发 生 的 会 话 密 钥 泄 
露 情况 ,这 样 敌手 就 获得 了 会 话 密 钥 。 如 果 迹 evsO 属于 协议 模型 ,并 且 迹 evsO 中 发 生 过 
会 话 密 钥 分 配 事件 ,那么 事件 Notes Spy {Key Kab} 可 以 扩展 原 迹 evsO 形成 新 的 迹 , 新 迹 
也 是 属于 协议 模型 的 。 假 设 协议 包含 B>A: {N Ka), 的 一 步 ,B 向 A 分 配 会 话 密 钥 
Kx, Oops 规则 形式 化 如 下 : 

[evsO € dsp;Says BA (Crypt(priSK B) (Nonce N,,Key K)) € set evsO! 
> Notes Spy {Nonce N,, Key K} it evsO € dsp 

总 之 ,这 些 规 则 归纳 定义 了 如 何 从 一 个 空 迹 出 发 定义 出 所 有 可 能 生成 的 迹 。 也 就 是 协 
议 模型 的 定义 。 

6. 归纳 证 明 

Paulson 归纳 法 使 用 归纳 来 推 证 一 个 归纳 定义 集合 。 首 先 来 看 数学 归纳 法 ,对 于 每 个 
自然 数 ,证 明 PGO fe sr B. P 是 某 一 性 质 。 需 证 明 P(0) 成 立 , 并 且 对 于 每 个 zxE N， 
P(x)>P(Suc z)。 同 样 , 对 于 协议 模型 , 需 证 明 P([ ]) 是 成 立 的 ,[ ] 代 表 空 迹 ,然后 证 明 如 
果 P(evs) 是 成 立 的 ,并 且 对 于 所 有 归纳 规则 由 事件 ev 扩展 evs 形成 的 新 迹 ev# evs, P(ev0 
##evs) 也 是 成 立 的 ,那么 就 表明 协议 模型 里 所 有 的 迹 都 满足 P 的 性 质 ,也 就 证 明了 协议 是 
满足 该 性 质 的 。 


4.3.2 Paulson 归纳 法 验证 BAN Kerberos 协议 的 密 钥 机 密 性 的 实例 


1. BAN Kerberos 协议 模型 

BAN Kerberos 协议 是 一 个 密 钥 分 配 协议 。 其 执行 步骤 如 下 。 

(D A>S:A,B, 

(2) SA (T Bs Kus (Tu A Ka, bx,» 

ticket 

(3) AB (TA Ka}, (AST... 

ticket. authenticator 

(4) B>A; (T x, » 

第 (1) 步 ,主体 A 首先 向 服务 器 S 请 求 要 和 主体 B 建立 会 话 , 主 体 A 把 A WB 的 身份 
标识 发 给 了 服务 器 S。 第 (2) 步 ,在 服务 器 S 收 到 A 的 请 求 后 ,生成 一 个 新 鲜 的 会 话 密 钥 
Ku 和 当时 的 时 间 惟 T... (T. A Ka), 是 票据 Ticket, HER B 的 长 期 密 钥 加 密 。 然 后 把 
(T, B, Ka, Ticket] JH A 的 长 期 密 钥 加 密 发 送 给 主体 A。 第 (3) 步 ,主体 A 收 到 从 S 发 送 来 
的 消息 后 用 长 期 密 钥 K, 解密 消息 ,验证 时 间 戳 T 是 否 过 期 ,主体 B 是 否 是 要 想 通 信 的 主 
体 。 如 果 无 错 的 话 则 接受 会 话 密 钥 K,, 然 后 生成 当时 的 时 间 截 T, ,把 接收 来 的 票据 
{Ty A Ka) FUE BUE CA T.) AZRE B。 第 (4) 步 ,主体 B 收 到 主体 A 发 送 
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来 的 消息 后 ,解密 票据 {T ,A,K,,}x, ,获得 会 话 密 钥 K。。 然 后 解密 认证 子 {A,T,)x, ,验证 
WER T, 是 否 过 期 。 如 果 正 确 的 话 返回 给 主体 4 用 天。 加 密 的 消息 { 工 十 1) 。 在 协议 完成 
后 ,协议 双方 A 和 B 都 获得 了 会 话 密 钥 K。。 
下 面 是 对 BAN Kerberos 协议 形式 化 建 模 的 规则 。 
Nil: 

[] € bankerberos 
Fake; 
[evsF€ bankerberos; X € synth (analz (spies evsF))] 
=>Says Spy BX # evsF € bankerberos 
BK1; 
[evs1 € bankerberos] 
= Says A Server {| Agent A, Agent B[-& evsl € bankerberos 
BK2 
evs2 € bankerberos; Key K,, € used evs2; K,,€ symKeys; 
Says A’Server {| Agent A, Agent B} € set evs2] 
— Says Server A (Crypt (shrK A) {Number (CT evs2), Agent B, Key K», 

Crypt (shrK B) (Number (CT evs2), Agent A, Key Ky} 

# evs2€ bankerberos 
BK3; 
[ evs3 € bankerberos; 
Says A Server | Agent A, Agent B}€ set evs3; 
Says S A (Crypt (shrK A) Number T,, Agent B, Key K,,, Ticket }}) 
€ set evs3; 
^expiredK T, evs3 ] 
— Says A B (Ticket. Crypt Kw{ Agent A. Number(CT evs3)[}} 

# evs3 € bankerberos 
BK4; 
[evs4 € bankerberos; 
Says A' B (Crypt (shrK B) (Number T,. Agent B. Key Ky}; 
Crypt Kad Agent A, Number T, [| € set evs4; 
—^expiredK T, evs4; ^expiredA T, evs4 ] 
=>Says B A (Crypt Ks, (Number T,)) 

# evs4 € bankerberos 
Oops: 
[ evsO € bankerberos; 
Says Server A (Crypt (shrK A)4 Number T,. Agent B, Key Ka, Ticket }}) 
€ set evsO] 
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=> Notes Spy {Number T,. Key Ka} 
* evsO€ bankerberos 

其 中 bankerberos 是 协议 模型 ,是 迹 的 集合 。 它 是 由 图 中 的 7 条 规则 归纳 定义 的 。 

Nil 规则 指明 空 迹 是 属于 协议 模型 的 ,是 归纳 定义 的 基本 规则 。 

Fake 规则 允许 敌手 可 以 伪造 消息 并 发 送 给 任意 主体 。 如 果 迹 evsF 属于 协议 模型 ， 
并 且 消 息 X 是 敌手 能 够 根据 信道 上 以 前 的 消息 伪造 出 的 新 的 消息 ,那么 敌手 可 以 把 它 发 
送 给 任意 主体 ,Says Spy BX # evsF 形成 的 新 迹 也 属于 协议 模型 ,符号 # 表示 事件 的 
连接 。 

BK1 规则 描述 了 协议 的 第 一 步 ,允许 任意 主体 可 以 在 任何 时 候 开 始 协议 会 话 。 如 果 迹 
evs] 属于 协议 模型 ,那么 Says A Server {A,B} # bankerberos 形成 的 新 迹 也 属于 协议 
模型 。 

BK2 规则 描述 了 协议 的 第 二 步 ,如 果 迹 evs2 属于 协议 模型 ,K,, 是 没有 使 用 过 的 对 称 密 
钥 , 这 里 使 用 used 操作 实现 密 钥 的 新 鲜 性 ,并 且 服 务 器 Server 收 到 了 请 求 会 话 的 消息 ,而 
不 管 是 哪个 主体 发 送 给 它 的 ,那么 Server 把 第 二 步 中 的 消息 发 送 给 A, 事 件 扩展 形成 的 新 
迹 也 属于 协议 模型 。 

BK3 规则 描述 了 协议 的 第 三 步 ,如 果 迹 evs3 属于 协议 模型 ,主体 A 曾 向 Server 发 送 过 
和 B 建立 会 话 的 请 求 ,Server 曾 回复 过 主体 A 第 二 步 的 消息 ,并 且 时 间 戳 T, 没有 过 期 , 那 
么 主体 A 向 B 发 送 第 三 步 的 消息 ,事件 扩展 形成 的 新 迹 也 属于 协议 模型 。 

BK4 规则 描述 了 协议 的 第 四 步 ,如 果 evs4 属于 协议 模型 ,B 曾经 收 到 过 第 三 步 的 消息 ， 
不 管 是 哪个 主体 发 给 它 的 ,并 且 时 间 惟 T T, 都 没有 过 期 ,那么 B 向 A 回复 第 四 步 的 消息 ， 
事件 扩展 形成 的 新 迹 也 属于 协议 模型 。 

Oops 规则 形式 化 了 在 协议 运行 中 可 能 因为 某 些 原 因 导 致 会 话 密 钥 的 泄露 ,如 果 迹 
evs 属于 协议 模型 ,并 且 Server 曾 向 A 发 送 过 第 二 步 的 消息 ,那么 敌手 有 可 能 记录 下 会 话 
密 钥 Kw ,事件 扩展 形成 的 新 的 迹 也 属于 协议 模型 。 


2. RAM Be 

密 钥 机 密 性 是 指 在 协议 运行 完毕 后 除了 协议 双方 和 可 信 第 三 方 没有 另 一 个 主体 能 够 获 
得 会 话 密 钥 。BAN Kerberos 协议 的 机 密 性 可 描述 为 ,如 果 主 体 A 和 B 都 没有 被 腐化 ,服务 
器 Server 曾 向 主体 A FRU SABA Ko ,并且 Ku 没有 因为 Oops 规则 而 泄露 ,那么 敌手 
是 无 法 获得 会 话 密 钥 Kw 的。 形式 化 为 : 

如 果 A 和 B 都 没有 被 腐化 ,并 且 

Says Server A(Crypt (shrK A{NumberT,, Agent B, Key K,,,Ticket})) € evs, 

Notes Spy( Number T, .Key K,,) € evs. 

那么 Key Ky, € analz(spies evs). 

直观 上 ,如 果 A、B 都 没有 被 腐化 , 则 敌手 无 法 获得 ALB 的 长 期 密 钥 ,也 就 无 法 解密 包 
含 会 话 密 钥 Ru 的 密 文 ,又 Kw 没有 因为 Oops 规则 而 泄露 ,所 以 敌手 是 无 法 得 知 Kw 的 。 具 
体 证 明 该 定理 时 ,需要 用 到 定理 证 明 器 Isabelle 进行 归纳 证 明 ,首先 空 迹 是 满足 该 性 质 的 ， 
然后 运用 归纳 规则 生成 新 的 迹 , 证 明 新 迹 也 是 满足 该 性 质 的 。 于 是 协议 模型 中 的 所 有 迹 都 
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是 满足 该 性 质 的 ,也 就 是 说 ,协议 模型 是 满足 该 性 质 的 ,定理 得 证 。 
4.4 应 用 Pi 演算 方法 


安全 协议 验证 已 经 成 为 许多 研究 人 员 所 关注 的 问题 。 该 问题 之 所 以 如 此 重要 ,是 因为 
协议 的 设计 太 容 易 出 错 了 ,而 且 ,这 些 错 误 仅 在 恶意 敌手 存在 的 情况 下 出 现 , 很 难 用 测试 的 
方法 检测 到 。 在 该 领域 中 ,一 种 重要 的 趋势 是 : 基于 Dolev-Yao 模型 ,在 无 穷 会 话 的 条 件 
下 , 且 尽 可 能 少 地 依赖 于 人 为 参与 来 验证 协议 。 由 于 协议 的 不 安全 性 对 于 有 限 会 话 来 说 是 
一 个 NP 完全 问题 ,对 于 无 穷 会 话 来 说 ,是 不 可 判定 的 。 从 而 ,并 不 是 对 所 有 协议 进行 无 穷 
会 话 下 的 自动 验证 都 可 完成 。 利 用 基于 语言 的 技术 ,如 分 类 或 抽象 解释 等 ,通过 可 靠 的 
近似 来 处 理 无 限 状态 系统 ,可 完成 一 些 典型 的 验证 。 这 些 技术 是 不 完备 的 〈 正 确 的 协议 
可 能 无 法 通过 类 型 检查 ,或 者 抽象 解释 工具 所 发 现 的 可 能 是 错误 的 攻击 ) ,但 却 是 可 靠 的 
(如果 它 没 有 发 现 攻击 , 则 可 以 保证 协议 满足 相应 的 属性 ) 。 这 一 点 对 协议 的 评判 来 说 是 
非常 重要 的 。 

本 节 的 目标 是 通过 提供 一 种 完全 自动 的 技术 来 验证 具有 无 穷 会 话 的 安全 协议 的 对 应 
性 ,从 而 扩展 前 人 在 该 领域 的 工作 。 对 应 性 是 具有 以 下 形式 的 一 种 属性 :如 果 协 议 执行 了 一 
些 事件 ,那么 它 必须 在 此 之 前 已 经 执行 过 另外 一 些 事件 。 这 里 使 用 了 可 描述 对 应 性 的 一 种 
丰富 的 语言 ,其 中 ,通过 含有 合 取 和 析 取 的 逻辑 公式 , 便 可 描述 那些 要 求 必须 已 执行 过 的 事 
件 。 另 外 ,还 考虑 了 非 单 射 对 应 性 (如 果 协 议 执行 了 一 些 事件 ,那么 它 必须 在 此 之 前 已 经 执 
行 过 另外 一 些 事 件 至 少 一 次 ) 和 单 射 对 应 性 (如 果 协 议 执行 了 一 些 事件 n 次 ,那么 它 必 须 在 
此 之 前 已 经 执行 过 另外 一 些 事件 至 少 n 次 )。 对 应 性 一 开始 被 命名 为 对 应 性 断言 ,类似 的 名 
称 还 有 最 初 用 于 建 模 认证 性 的 协定 (Agreement) 。 直 观 地 说 ,如 果 B 希望 交谈 的 对 象 是 A， 
那么 要 保证 他 实际 交谈 的 对 象 就 是 A, 就 需要 协议 对 B 来 认证 A。 当 B 认为 他 已 经 和 A 运 
行 过 协议 时 就 执行 事件 e(A, B), 当 A 认为 她 和 B 运行 协议 时 ,她 执行 男 一 事件 e CA DD. 
如 果 B 执行 事件 e(A, B) 时 ,A 已 经 执行 过 e'(A,B) ,那么 认证 性 就 得 到 了 满足 。 文 献 中 也 
有 些 类 似 这 一 方案 的 变 体 ,下 文 将 表明 ,该 技术 可 处 理 大 部 分 这 类 变 体 。 也 可 按 以 下 方法 用 
对 应 性 描述 保密 性 。 称 值 M 在 协议 中 是 保密 的 ,是 指 敌 手 不 能 获得 值 M, 如 果 将 事件 
attacker(M) 与 敌手 获取 M 这 一 事实 关联 起 来 ,那么 M 的 保密 性 就 可 描述 为 “不 能 执行 
attacker M)" , Hit Je Ub "IR DUET T. attacker MD ,那么 保密 性 为 假 "。 更 复杂 的 属性 也 可 
用 对 应 性 的 概念 来 描述 ,如 “协议 的 所 有 消息 已 被 按 序 发 送 ” 等 。 

该 技术 基于 前 人 关于 保密 性 验证 技术 的 重要 扩展 。 具 体 来 说 ,协议 用 进程 演算 来 描 
述 , 它 在 pi 演算 中 加 入 了 密码 原 语 。 该 进程 演算 将 事件 扩充 进来 ,用 以 描述 对 应 性 。 这 
些 事件 只 是 用 来 表示 协议 ,而 不 用 于 证 明 对 应 性 。 然 后 协议 被 自动 转换 为 一 组 Horn F 
^j. fg ,将 这 些 子 句 传 给 一 个 基于 归结 (Resolution-based) 的 求解 器 。 该 求解 器 并 非 总 
是 终止 的 ,但 它 对 一 种 经 过 标记 的 协议 来 说 是 终止 的 。 实 验 结果 表明 , 它 对 很 多 协议 都 
是 终止 的 。 

该 方法 的 优点 是 : 它 是 完全 自动 的 ;用 户 只 需 对 协议 和 要 证 的 对 应 性 进行 编码 即 可 。 它 
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不 限制 协议 会 话 的 数目 及 敌手 可 处 理 的 项 的 规模 。 它 可 处 理 很 通用 的 密码 原 语 ,包括 共享 
密 钥 加 密 、 公 钥 加 密 、 签 名 、. 单 向 Hash 函数 及 Diffie Hellman 密 钥 协商 。 它 有 明确 的 语义 
基础 。 缺 点 是 个 别 时 候 算 法 不 终止 ,同时 该 技术 是 不 完备 的 :向 Horn 子 句 的 转换 引入 了 一 
种 抽象 ,该 抽象 无 法 记 住 每 个 行为 副本 的 编号 。 这 种 抽象 对 于 处 理 无 穷 会 话 来 说 是 关键 的 ， 
也 正 是 这 种 抽象 提供 了 证 明 对 应 性 的 充分 条 件 , 但 对 正确 协议 可 能 会 失败 。 基 本 上 ,在 证 明 
那些 开始 时 需要 对 一 些 值 保密 ,之 后 又 需要 公开 这 些 值 的 协议 时 会 失败 。 在 实践 中 ,该 工具 
仍然 是 很 精确 的 。 在 实验 中 ,在 证 明 那 些 正确 的 协议 时 它 总 是 成 功 的 。 


4.4.1 进程 演算 
本 节 给 出 用 于 描述 安全 协议 的 进程 演算 ,包括 其 语法 、 语 义 及 一 个 协议 描述 实例 。 
1. 语法 及 非 形式 化 语义 
表 4.1 给 出 了 本 演算 中 项 (数据 ) 和 进程 (程序 ) 的 语法 ,用 a、b、c、k 及 类 似 的 标识 符 表 


示 名 字 (Names) ,用 xz、y、z 表示 变量 。 该 语法 还 采用 了 一 组 符号 表示 构造 子 和 析 构 子 。 通 
常用 表示 构造 子 ,用 g 表示 析 构 子 。 


表 4.1 进程 代数 语法 


M,N::= 项 
Trys? 变量 
a,b,c, k 名 字 
KM mM 构造 子 应 用 
P,Q::= 进程 
M(N).P 输出 
MG). P 输入 
0 空 
P\Q 并 行 组 合 
!P 重复 
(va)P 限制 
let z=g(M, ,…,M,) in P else Q 析 构 子 应 用 
if M=N then P else Q 条 件 
event(M). P 事件 


构造 子 用 以 构造 项 。 因 此 ,项 包括 变量 名字 以 及 fM ,…',M,) 形 式 的 构造 子 应 用 ;项 
是 无 类 型 的 。 然 而 , 析 构 子 不 会 出 现在 项 中 ,只 用 来 在 进程 中 处 理 项 ,是 可 用 于 进程 中 的 一 
种 项 上 的 偏 函 数 。 在 进程 let x—gCOM, ,…,M,)in P else Q 中 ,首先 要 对 g(M, ,…,M,) 求 
值 ,如 果 成 功 , 则 将 z 绑 定 于 所 得 的 结果 并 执行 也, 否则 执行 Q。 更 确切 地 说 ,一 个 nn 元 析 构 
子 g 的 语义 由 一 个 重 写 规则 的 集合 def(g) 给 出 ,规则 的 形式 为 g OM, on MD >M, Hh 
M: sM, -M 为 非 名 字 的 项 ,M 中 的 变量 同样 出 现在 Mi,…,M, 中 。 当 且 仅 当 存在 一 个 代 
H o 和 def(g) 中 的 一 个 重 写 规则 g CM, ,…,M,) 一 M, 使 得 M; aM; GE 0, D HM'— 
aM 时 ,可 用 gCMI,…,M2) 一 M' 来 扩展 这 些 规则 。 使 用 构造 子 和 析 构 子 可 表示 如 表 4. 2 所 
示 的 数据 结构 和 密码 操作 。 
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R42 构造 子 与 析 构 子 


构 造 d 析 构 F 

元 组 元 组 ntupleCzi ,***, £n) TREE ith, (ntuple (2) ,*, m2) — z; 
共享 密 钥 加 密 HEH y 对 z 加 密 , sencrypt (x, y) | 解密 sdecrypt (sencrypt(z, y), y) > x 
随机 共享 密码 加 密 HEH y 及 随机 因子 ~ 对 x 加 密 ，| 解密 sdecrypt, (sencrypts Cr. y» r), y) 

sencrypt, (x, y. r) =z 

用 密 钥 y 及 随机 因子 r 对 x 加 密 ， 
随机 公 钥 加 密 ESES 2, o me pdecrypt, (pencrypt, Cx, ys r), y) 

由 私 钥 y 生成 公 钥 , pk(y) d 

3 签名 验证 checksignature (sign(x, y), pk 

签名 FAM YM Re sen Gn) | yy, ae x ERE getuseseqe Cog 


由 私 钥 y ERAH, pk(y) 
(x, y)) >x 


用 私 钥 y 对 x 签名 , nmrsign (x, y) 


无 消息 泄露 签名 由 私 钥 v ERAH, pk) 验证 nmrchecksign (nmrsign (x, y), pk 


(y), x) > true 


常量 true 
单 向 Hash 函数 Hash 函数 A Ca) 
拥有 者 名 及 密码 列表 | 由 密 钥 到 其 拥有 者 名 host (x) 由 拥有 者 名 到 密 钥 getkey (host(z)) > x 


构造 子 和 析 构 子 可 以 是 公有 的 ,也 可 以 是 和 有 的 。 公 有 的 可 以 被 敌手 使 用 ,如 果 没 有 进 
行 其 他 声明 ,一 般 都 是 指 公有 的 。 私 有 的 只 能 被 诚实 的 参与 者 使 用 ,在 实践 中 ,它们 可 用 于 
建 模 ,如 保存 在 服务 器 中 的 密 钥 表 。 公 有 的 构造 子 host 由 一 个 长 期 私 钥 计 算 其 拥有 者 的 名 
字 , 私 有 的 析 构 子 getkey 从 主体 的 名 字 返 回 其 密码 ,模拟 在 (host name, key) 对 形式 的 表 中 
所 进行 的 查找 。 用 公有 的 构造 子 host 允许 敌手 建立 并 注册 任意 数目 的 主体 名 及 其 密码 。 
然而 ,由 于 getkey 是 私有 的 ,敌手 将 不 能 从 一 个 主体 名 计算 出 其 密 钥 ,否则 将 违反 所 有 协议 
的 约定 :主体 名 是 公开 的 ,而 诚实 参与 者 的 密 钥 则 是 保密 的 。 

进程 演算 额外 提供 了 一 种 执行 事件 的 结构 ,可 用 于 描述 对 应 性 。 进 程 event(MD).P 先 
执行 事件 event(M) ,然后 执行 P. 

表 4.1 中 的 其 他 结构 是 标准 的 ,大 多 数 来 源 于 pi 演算 ,其 中 输入 进程 M GO. P 在 通道 
M 上 输入 一 个 消息 ,然后 执行 P Hp P hhe 与 输入 消息 绑 定 。 输 出 进程 MON). P deii 
3É M 上 输出 消息 N ,然后 执行 P。 空 进程 0 什么 也 不 做 。 进 程 PIQ 为 P 和 Q 的 并 发 组 
合 。 复 制 !P 表示 任意 多 个 P 的 副本 在 并 发 运行 。 限 制 (va)P 生成 一 个 新 的 名 字 , 然 后 执 
47 P. Att if MSN then P else Q, 当 M 和 NN 在 运行 时 可 归 约 为 同一 个 项 时 执行 P, 否 则 
执行 Q。 人 们 将 let z—M in P 定义 为 P{M/z} 的 另 一 种 表达 。 通 常 如果 else 子 句 包括 0 
时 将 其 省 略 。 

名 字 a 在 进程 (va)P 中 是 约束 的 ,在 进程 M(z).P 和 let z 一 gCM ,…,M,) in P else Q 
中 ,变量 xz 约束 于 P。 记 f,(P) 和 f,(P) 分 别 为 在 P 中 自由 的 名 字 和 变量 。 如 果 一 个 进程 
没有 自由 变量 , 则 称 其 是 闭 的 ; 它 可 能 有 自由 名 字 。 


2. 操作 语义 
语义 格局 是 一 个 下.P 对 ,其 中 环境 下 是 一 个 名 字 的 有 限 集 ,P 为 一 个 闭 进程 的 有 限 多 
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HRA. WEE 必须 包括 P 中 进程 的 所 有 自由 名 字 。 直 观 地 看 FUR (ai ，… ,a,), Pits 
P,} 对 应 于 进程 (va1)…(va,) (Pi|…|P,)。 演 算 的 语义 由 表 4. 3 所 示 的 定义 在 语义 格局 上 
的 归 约 关系 一 定义 。 


表 4.3 结构 化 语义 


E,PU(0)-E,P (Red Nil) 
E,PU{!P}+E,PU(P, !P} (Red Repl) 
E,PU{P|Q}E,PU{P, Q} (Red Par) 
E,PU { (va) P} EU (a ) PU (Pa /a}} (Red Res) 
where a’ € E. 
E,PU {NM). Q, N(x). P)—E, PU(Q, P{M/z}} (Red 1/0) 
E,PU (let x—g(M, ,++,M,)in P else Q}->E,PU{P{M’/x}} 
if gCM, MM" (Red Destr 1) 
E,PU {let z—g( M, ,…,M,) in P else Q}+E,PU(Q} (Red Destr 2) 
If there exists no M'such that g(M, .+++,M,)->M’ 
E,PU (if M=M then P else Q}—>E,PU {P} (Red Cond 1) 
E,PU (if M=N then P else Q}—E, PU {Q} (Red Cond 2) 
if MAN 
E,PU {event(M). P)--E,PU (P) (Red Event) 
3. 例子 


作为 一 个 运行 的 例子 ,考虑 Needham-Schroeder 公 钥 密码 协议 的 一 种 简化 版 本 。 协 议 
包括 以 下 消息 : 
Message 1. A 一 B: {a+ pka )} pry 
Message 2. B>A; (a sb. pke} pr, 
Message 3. A>B: {b} pi, 
A 首先 给 B 发 送 一 个 用 B 的 公 钥 加 密 的 nonce( 新 鲜 名 )a,B 用 其 私 钥 sks 解密 该 消息 
并 回 传 nonce a, 他 选择 的 新 的 nonce p, 以 及 他 自己 的 公 钥 pks, 这 些 均 用 pka ME, 4A 
收 到 这 一 消息 时 对 其 进行 解密 。 当 A 看 到 nonce a, A 相信 和 是 B 的 回答 ,因为 只 有 B 可 以 解 
密 第 一 个 关于 a 的 消息 并 获得 a。 然 后 A 发 回 用 pke 加 密 的 nonce 5,B 解密 该 消息 。 当 B 
看 到 nonce 5, 他 相信 是 A 的 回答 ,因为 只 有 A 可 解密 第 二 个 消息 ,并 获得 其 中 的 2。 第 一 个 
消息 中 的 pka 和 第 二 个 消息 中 的 pks 使 得 这 些 消息 明显 是 用 于 A 和 B 之 间 的 会 话 , 从 而 避 
免 中 间 人 攻击 。 该 协议 在 演算 中 可 由 进程 来 描述 ,解释 如 下 。 
Palska,pka,pke)=!1c(r_pke). (va)event(e (pka «zr. pka ,a)). 
(vri)c <pencrypt, (Ca, pk 2 «x. pkg «ri 2). 
c(m). let(=a, x b, —zr pkg) —pdecrypt, (m, ska)in 
event(e; Cpka x. pks, a, r b)). (vrs)c <pencrypt, Cr b,x  pkg.r;)? 
if zx_pks= pks then 
event(eACpka x. pks sas» x b)).c <sencrypt(sAa,a)>.¢ (sencrypt(sAb. x D)» 
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Pelskgs pke, pka) =!cm’). let(x_a.x_pk,) — pdecrypt, Gm skg)in (vb) 
event(e,(2_pky,pkg,r_a,b)). Cvri)c(pencrypt,CCx, a,b, pkg) x. pk r2). 
c(m^). let(=b) — pdecrypt, (m” ,sks)in 
if z pk,— pk, then 
enent Ces Cz. pka.pks.x a.b)).c <sencrypt(sBa,z_a)>.c <sencrypt (sBb,b)> 

P— CGosk A) Cusk s) let pk 4 = pk (sk, din let pk, = pk (sk, in 
€ (pk dc <pke). (Pa (ska, pka,» pke) | Pa (skp, pke, pka)) 

进程 P 首先 创建 A 和 B 的 公私 钥 , 并 将 公 钥 在 通道 c 上 输出 以 建 模 敌手 的 初始 知识 中 

包含 它们 ,然后 协议 本 身 开始 执行 :Pa 描述 A, Ps 描述 B, 两 个 主体 均 可 运行 无 限 次 会 话 ， 
因此 Pa 和 Ps 以 重复 开始 。 
我 们 认为 AGB 均 希 望 与 任意 主体 对 话 。 因 此 ,为 了 决定 A 将 与 谁 对 话 ,A 首先 输入 
一 个 包含 其 对 话 者 公 钥 x_pks 的 消息 (该 对 话 者 因此 可 由 敌手 选 定 )。 然 后 A 通过 选择 
nonce a, 并 执行 事件 ei (pk, ,zx_pks,a) 开 始 一 个 协议 的 运行 。 直 觉 上 ,该 事件 记录 了 A 在 
有 公 和 钥 x_pks 参与 并 使 用 了 nonce a 的 运行 中 发 送 协议 的 消息 1。 事 件 e 被 放 在 实际 输出 
消息 1 之 前 ,这 对 所 期 望 成 立 的 对 应 性 来 说 是 必要 的 :如 果 事 件 e 被 放 在 实际 输出 消息 1 
之 后 ,那么 甚至 在 已 经 输出 消息 1 的 情况 下 也 不 能 证 明 e 一 定 是 已 被 执行 了 的 ,因为 消息 1 
可 以 在 不 执行 e 的 情况 下 输出 。 下 面 的 事件 e Ale, 与 此 情形 类 似 。 然 后 A 发 送 协议 的 第 
一 个 消息 pencrypt, (Ca, pk A) «x. pks ri) ,其 中 六 为 新 鲜 因 子 , 用 以 建 模 公 钥 加 密 是 随机 
的 。A 等 待 第 二 个 消息 并 用 其 私 钥 ska 解密 。 如 果 解 密 成 功 ,A 使 用 模式 匹配 的 组 成 
let( 二 a ,zx , 一 xX_pke) 二 pdecrypts(m,ska)in… 来 检查 消息 的 形式 是 正确 的 。 该 组 成 是 以 下 
语法 的 简写 : 
let y= pdecryptp Cn. ska)in let zi = lths(y)in let x, = 2ths(y)in let zs 
= SthsCy) in if zı = a then if xz; = zx_pks then, 

然后 A 执行 事件 es (pk «m pk asa D) ,以 记录 她 在 有 公 钥 x_pk, nonce a E x b 
与 的 会 话 中 已 收 到 消息 2 并 发 送 了 消息 3。 最 后 她 发 送 协议 的 最 后 一 个 消息 pencrypt, Gr 
0z_bkayrs)。 发 送 完 该 消息 后 ,A 执行 一 些 仅 用 于 描述 协议 属性 的 行为 。 当 x_pks 一 pks， 
也 就 是 说 ,会 话 是 A 和 之 间 的 会 话 ,A 执行 事件 eA(pka，,z_pks，,a,z_5) ,以 记录 结束 了 有 
公 钥 xz_pks nonce a 和 xz_b 参 与 的 会 话 。A 还 要 输出 一 个 用 nonce a 加 密 的 秘密 名 sAa 以 
及 用 nonce b 加 密 的 秘密 名 sAD ,这 些 输出 有 助 于 形式 化 nonce 的 保密 性 。 用 工具 可 证 明 自 
由 名 的 保密 性 ,但 不 能 证 明 约 束 名 (如 a) 或 变量 (如 xz_5) 的 保密 性 ,为 克服 这 一 不 足 , 使 用 a 
对 一 个 自由 名 sAa 进行 加 密 , 这 样 ,sAa 是 保密 的 当 且 仅 当 由 A 选择 的 nonce a 是 保密 的 。 
类 似 地 ，sA5 是 保密 的 当 且 仅 当 由 B 选择 的 nonce b 是 保密 的 。 

类 似 地 ,可 以 对 进程 B 的 执行 进行 解释 。 

事件 将 用 于 形式 化 认证 性 。 例 如 , 若 想 形式 化 “如 果 A 结束 了 一 个 协议 的 会 话 ,那么 B 
已 经 开始 了 一 个 具有 相同 nonce 的 会 话 ”, 便 可 如 期 望 的 那样 形式 化 为 :如 果 ea Cn sas mns 
ZX4) 已 被 执行 ,那么 e (ziyzayzs'zt) 已 被 执行 。 


4.4.2 对 应 性 的 定义 
本 节 将 形式 化 地 定义 所 要 验证 的 对 应 性 。 
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假设 协议 的 运行 中 存在 敌手 , 且 根 据 Dolev-Y ao 模型 ,敌手 可 以 监听 所 有 消息 ,计算 并 
发 送 它 所 拥有 的 所 有 消息 。 因 此 ,一 个 敌手 可 以 用 这 样 一 种 进程 来 描述 ,该 进程 有 一 组 公有 
名 Init 在 敌手 的 初始 知识 中 , 且 不 包含 事件 (虽然 初始 知识 仅 包含 Init 中 的 名 字 ,但 通过 在 
Init 中 的 通道 上 的 发 送行 为 ,可 将 任何 项 提供 给 敌手 ) 。 

定义 4.1 Slit 为 名 字 的 有 限 集 。 闭 进程 Q 为 Init 敌手 当 且 仅 当 f£, (Qo C Init, H Q 
不 包含 事件 。 


l. 非 单 射 对 应 性 
接 下 来 ,定义 什么 时 候 一 个 迹 满足 一 个 原子 c。 其 中 , 原子 由 如 表 4. 4 所 示 的 语法 
生成 。 


表 4.4 原子 的 语法 生成 


a::= 原子 
attacker(M) 攻击 者 的 知识 
message( M, M’) 通道 上 的 消息 
event(M) 事件 


直觉 上 ,一 个 迹 满足 attacker MD ,说 明 攻击 者 拥有 M, 或 者 等 价 地 ，M 被 通过 Init 中 
的 公有 通道 发 送 。 迹 满足 message (M. MO ,说 明 消 息 M 被 通过 通道 M 发 送 。 迹 满足 
event(M) ,说 明 事件 event (MD 已 被 执行 。 

定义 4.2 称 一 个 迹 T 二 E。,Po 一 " E',P' 满 足 attacker(M) 当 上 且 仅 当 存 在 E,P,x,P， 
Q,cEInit,T 包 含 转换 E,PU (cM. Q,c(x). P} E, PU{Q,P{M/z}}. 

称 一 个 迹 了 二 E, P> E'.T' ili Jg message M.MO 4 B. BC fee 下,P,z,P,Q, 使 得 工 
包含 转换 E, PU(MM >. Q. MG). P)E.PU(Q. POM /x]) . 

Tk—^ ET —E,.P,—' E' , P ili BE event(M) 当 且 仅 当 存 在 EE.P、P, 使 得 TT 包含 转换 
E,PU {event(M). P}—>E,PU {P}. 

从 直觉 上 看 ,对 应 性 a> V Tea Ca; ~ A f= event (Ma DRR WE a 的 一 个 实例 被 满足 ， 
那么 存在 JE {1,…,m) ,使 得 该 实例 是 a; 的 一 个 实例 , 且 每 个 事件 eventC(Mj)，…,event 
(My, ) 的 相应 实例 已 被 执行 。 

定义 4.3 ABER Po 对 于 Init 敌手 来 说 满足 对 应 性 


- 4 
a> V (a; ~ /\ event(M;) ) 
i= k=1 


当 且 仅 当 对 任意 Init 敌手 Q, 对 任意 包含 万 (PJ)UitUA Ca) U U; fn G) UU; fn Mx) 
的 E, ,对 任意 代 换 ,对 任意 迹 T 一 Eu (Pa QU E.P ,如 果 T 满 足 ca, 那么 存在 o ,jE 
(loom) ,使 得 oaj 一 oa, 且 对 所 有 KE{1,…,4), 了 也 满足 event(o Mi)。 

定义 4. 3 非常 一 般 化 。 下 面 给 出 一 些 有 趣 的 特例 。 当 m —0 时 , 析 取 式 V 1… 被 表示 
为 false, 当 对 所 有 的 j,a 二 a; 时 ,对 应 性 被 缩写 为 a VT 人 4-1event(M)。 该 对 应 性 意 
味 着 ,如 果 a 的 一 个 实例 被 满足 ,那么 存在 jm ,使 得 事件 eventCMi ) ,… ,event(Mi ) 的 相 
应 实例 已 被 执行 。a 中 的 变量 是 被 全 称 量化 的 (因为 = 是 全 称 量化 的 )。 出 现在 My 中 ,但 未 
出 现在 o 中 的 变量 是 存在 量化 的 (因为 o 是 存在 量化 的 )。 
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例 4.1 在 4.4.1 节 的 进程 中 ,对 应 性 enentCes Cri ,zs ,zasyzi))~event(el (2,522 
Ts)) N event (e; Cry ,2; (25 24)) A event (es (zyzayzsyz)) 的 意思 是 ,如 果 事 件 event (es 
(ziyzayzsyz4)) 被 执行 ,那么 ,具有 相同 参数 值 ri ,x ,x; ,zx 的 事件 event(e Cri i yzs))， 
event(e; Gr, 5.22 523 yzZi)) ,event(es (Zilyzzyzsyz)) 均 已 被 执行 。 

对 应 性 

event(R_received(msg(x,z)))> 
(event(R_received(msg (x, (2’,Auth)))) ~ 
event(S_has(k .msg(x,(z’,Auth)))) A 
event (TTP_send(sign((sencrypt(msg(x,(z’,Auth)),k).2).skr1p)))) 
V (event(R_received(msg (x, (2 ,NoAuth)))) ~» 
event(S hasCk ,msg(x,(z’,NoAuth)))) A 
event(TTP_send(sign(sencrypt(msg(x,(2’,NoAuth)),k).skrrp)))) 
的 意思 是 说 ,如 果 事件 R_received(msg(z,z)) 已 被 执行 ,那么 有 两 种 可 能 发 生 : 存在 x' 或 者 
z—(z ,Auth) 或 者 z= (z/, NoAuth) ,无 论 哪 种 情况 ,都 存在 上 ,使 得 事件 TTP_send 
(certificate) Ml S_has(k,msg, (zyz)) 已 执行 ,但 使 用 不 同 的 certificate 值 。 当 = 一 (> ， 
Auth) At ,certificate=sign((S2TTP. x), | skr), 4 z=(2’, NoAuth) AY, certificate = sign 
C(S2TTP sk rp) ,其 中 ,S2TTP==sencrypt(msg (x,z),k)。 

以 下 定义 为 定义 4.3 的 特例 。 

定义 4.4 闭 进程 P 对 于 Init 保持 M 的 所 有 实例 的 秘密 性 , 当 且 仅 当 它 对 于 Init 敌手 
满足 对 应 性 attacker(M) ~ 一 false。 

定义 4.5 非 单 射 协定 (Agreement) 是 一 种 event(e(zi,…,z))~event(e Cr, ss 
zw)) 形 式 的 对 应 性 。 


2. 单 射 对 应 性 

定义 4.6 称 事件 event (MD YE T — E, ,Ps 一 "EE',P' 的 第 + 步 被 执行 , 当 且 仅 当 存在 E. 
P,P, 使 得 T 的 第 个 变换 是 以 下 形式 的 变换 :E,PU {event(M). P) >E, PU {P}. 

直观 地 说 ,一 个 单 射 对 应 性 event(M) inj enent(M ) 要 求 每 个 事件 event(oM) 被 不 同 
的 事件 event(cM') 激 发 ,而 非 单 射 对 应 性 event CM) » event CM) 允许 多 个 事件 event (oeM) 
被 同一 个 事件 event(cM') 激 发 。 用 [inj] 表 示 一 个 可 选 标记 , 它 可 以 取 inj 或 什么 都 不 取 , 当 
[inj] 一 inj 时 ,要 求 单 射 对 应 性 , 当 [inj] 什 么 都 不 取 时 ,对 应 性 不 需要 是 单 射 的 。 

定义 4.7 闭 进程 P, 对 于 Init MPO 


event (M) Y (eventCN; ) A [injJjevent CM; ) ) 


当 且 仅 当 , 对 任意 Init 敌手 Q 对 任意 包含 f.(P.) UlnitU f, (M) UUs fn (ND U Uj.s 
fn My EY Eo ,对 任意 代 换 ,对 任意 迹 工 = E, {Po Q)—>* E' P! ,存在 从 7 的 步骤 集 的 子 集 
到 7 的 步骤 集 的 函数 9 ,使 得 : 

CD 对 所 有 的 +, 如 果 存 在 o ,使 得 event(sMD) 在 T 的 第 +t 步 被 执行 ,那么 ,存在 o 和 j ,使 
得 aN; 二 oM, 且 对 所 有 的 kE (1.715) ,pr(z) 是 有 定义 的 ,上 且 event (oMa) E c 的 第 $i CO 
步 被 执行 。 
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(2) 如 果 [injj]x — inj. JI] 是 单 射 的 。 
与 非 单 射 对 应 性 类 似 , 当 对 所 有 的 了 有 M 一 Ni 时 ,对 应 性 可 缩写 为 


m= dj 
event (M) ~» V A [inj] a event Mj.) 


joa kei 
m i 
注意 : 4 一 attacker(M) 时 ,对 应 性 ac> V (a; ~ 人 [inj]xevent(Mx)) 中 至 少 有 一 个 
= k=1 
inj 标记 时 总 会 导致 错误 :敌手 可 以 任意 次 地 在 它 的 一 个 通道 上 一 直 重 复 输出 M。 当 au 一 
message M. M^) ,.E. € y A—4 inj 标记 时 ,对 应 性 只 有 在 敌手 不 能 执行 相应 输出 时 也 许 为 
真 。 为 简单 起 见 , 我 们 只 关注 a 二 event(JM) 时 的 情况 。 
定义 4.8 单 射 协定 是 以 下 形式 的 对 应 性 : 
event(eCr, ,*** 2,)) vin] event(e (zyzo)) 
单 射 协定 要 求 执行 event(e(Mi,…,M,)) 的 次 数 要 小 于 执行 event(e (Mi «M, I 
次 数 :每 次 eventCeCM, ,…,M,)) 的 执行 对 应 于 一 个 不 同 的 event(e (Mi ,… ,M,)) 的 执行 。 
3. 一 般 对 应 性 
对 应 性 还 可 提供 关于 事件 执行 顺序 的 信息 。 
首先 来 看 一 个 例子 。 使 用 4. 4. 1 节 的 进程 用 
event ep (2) 52523 524)) ^ nj event(es Gri 542 523 $242) ~ 
Cinj event(e Cr; 5.22 23 ,74,)) (Inj event(e Cr, 425 523)))) (4-1) 
来 表示 这 样 一 种 对 应 性 :每 次 事件 ee Cn means ,ZT4) 的 执行 对 应 于 事件 events ei Gri 5225 
23) ,es Cry To as x4) ees CE1 ,Ts ,ZX3,T4) 的 不 同 执行 , 且 en Gri s £2 9 ty o x4 ) 的 每 次 执行 之 前 
均 有 不 同 的 事件 es (zi ,zx; ,zs ,ZT4) 执 行 ,每 次 es (2) emi ems c ) 本 身 的 执行 之 前 , 均 有 不 同 的 
事件 e Cri ,zi ems m DAT BER es Cr 9.2 ens ,7T4) 本 身 的 执行 之 前 , 均 有 不 同 的 事件 e (x ， 
Zs ,Ts) 执 行 。 该 对 应 性 表明 ,B 终止 和 A 的 对 话 前 ,A 与 B 已 经 以 期 望 的 顺序 交换 了 协议 
所 有 的 消息 。 该 对 应 性 并 不 等 价 于 以 下 对 应 性 的 合 取 : 
event(eg Cz, 5 25 ,4)) ~inj event(es Gr, ,Xs x3 ,TT4)), 
event(e; (21 522 »23 »24)) ~inj event(e; Cri «a2 «23 $242) , 
event(e; Gr, ,Xi ,zs 42) inj eventCe; Gr, «22 250 ,因为 要 使 式 (4-1) 成 立 , 为 证 明 e; 被 执 
行 ,甚至 需要 知道 es 被 执行 ,而 不 仅仅 是 es 已 被 执行 ,类 似 地 ,为 证 明 e 已 被 执行 ,同样 需 
要 知道 es 被 执行 ,而 不 仅仅 是 e, 已 被 执行 。 
定义 4.9 闭 进程 Po 对 于 Init 敌手 来 说 满足 对 应 性 


m ki 
event(M)=> V (event(M;)~» A [inj]aqs ) 
int i-i 


其 中 
My fu 
qx —event( Mg) ~ V A Linj Trea 
jer bet 


当 且 仅 当 ,对 任意 Init 敌手 Q, 对 任意 包含 fn P) UlnitU faM) U Uj;fn(M)U Ux 
fn OMg) B E, XE RET — E, (P,.Q)—7 E' P! ,对 每 一 个 非 空 的 天 存在 函数 昧 ,使 得 对 
所 有 非 空 的 赤 ,时 将 T 的 步 又 集 的 一 个 子 集 映 射 到 7 的 步骤 集 , 且 有 : 
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CD 对 所 有 的 o WRF E o fE event OM TE T RO TR. c 步 被 执行 ,那么 ,存在 
o 和 J 一 Gx)z， 使 得 o Mje = oM. HE A dE SAY kóma (rz) 有 定义 , 且 
event aM makk.) ETHE PoskeikCE. D OA BAT. 

(2) SARA ARS WOK, MR Cinj le — inj, W pr FE STAY. 

(3) LESTIE MAG 和 k， 如 果 prO AELA % 天 (rz) 有 定义 , 且 
$3. bee) MMA jAk, (rt) 有 定义 ,那么 $al) <r. 

定义 4.9 中 的 第 一 项 保证 了 要 求 的 事件 已 经 被 执行 ,第 二 项 意味 着 当 存在 inj 标记 时 ， 
对 应 性 是 单 射 的 。 第 三 项 保证 了 事件 以 期 望 的 顺序 执行 。 


4.4.3 自动 执行 :从 保密 性 到 对 应 性 


首先 ,概述 一 下 保密 性 分 析 。 子 句 使 用 两 个 谓词 :attacker 和 message, 子 句 通过 以 下 方 
式 将 使 用 这 些 谓 词 的 原子 联系 起 来 。 当 进程 分 别 通过 通道 M «M, MORI MT MUR 
再 通过 通道 M 输出 M' ,可 生成 子 句 message (Mi M^) A … A message M, , M^) > 
messageC M. M^) 。 当 攻击 者 可 从 Ms ,…,M, 计算 出 M 时 ,可 生成 子 句 attacker(M,) 人 … 人 
attacker( M, )-»attacker( M) 。 子 句 message(z,y) A attacker(Zz) 一 attacker(y) 表 示 如 果 攻 
击 者 拥有 通道 zx, 则 他 可 在 zx 上 实施 监听 。 子 名 attacker(z) A attacker( y) 9 messageCr, y) 
表示 攻击 者 可 在 他 所 拥有 的 任何 信息 上 发 送 他 所 拥有 的 任何 消息 。 当 attacker MD Ay AF 
句 中 派生 出 时 ,攻击 者 可 能 拥有 M, 也 就 是 , 当 从 子 句 中 不 能 派生 出 attackerCM) 时 ,可 以 肯 
定 攻击 者 不 拥有 M, 反 之 不 然 。 因 为 Horn 子 句 可 以 被 任意 次 地 应 用 ,一 般 来 说 对 进程 的 所 
有 行为 来 说 ,并 不 是 都 为 真 。 类 似 地 , 当 messageCM,M') 可 由 子 句 派生 时 ,消息 M 也许 在 
通道 M 上 发 送 过 。 因 此 ,我 们 的 分 析 夸 大 了 行为 的 执行 。 

接 下 来 关注 对 对 应 性 的 证 明 , 如 event Ce; (x))~vevent(e,(7x)), 为 了 证 明 该 对 应 性 ,可 
以 夸大 事件 ei 的 执行 :如 果 在 此 夸大 的 情况 下 可 证 明 对 应 性 ,那么 从 严格 意义 上 来 说 , 它 也 
是 成 立 的 。 这 样 通过 附加 一 个 谓词 event 可 以 很 容易 地 扩展 对 保密 性 的 分 析 , 这 时 ， 
event MD 意味 着 event(M) 可 能 已 经 发 生 。 当 进程 分 别 通 过 通道 MX v M, CRI MTM; 
后 执行 事件 event (MD ,可 生成 子 句 message(M, ,MI ) 人 … A message(M, ,M') 一 event(M) 。 
然而 这 一 夸大 不 能 被 用 于 e: :如 果 夸 大 了 e 的 执行 再 来 证 明 对 应 性 ,那么 就 不 能 真正 地 确 
定 e; 将 被 执行 ,这 样 在 严格 意义 上 ,对 应 性 就 会 出 错 。 所 以 必须 用 不 同 的 方法 来 对 待 e 。 

采用 的 思想 如 下 :固定 允许 执行 的 事件 集 e (MD 为 8, 在 证 明 event(e C2) ^ event Ce; (x)) 
时 ,检查 只 有 针对 M 的 事件 e1 (MD 能 够 使 得 eo (MD € E 被 执行 。 如 果 对 E 中 的 任意 值 都 证 明 
了 这 一 属性 ,那么 就 证 明了 期 望 的 对 应 性 。 为 此 ,引入 一 个 谓词 m event, (#14 m-eventCe; (MD) 
为 真 , 当 且 仅 当 e CM)E E。 当 进程 在 执行 了 事件 e (Mo ) 并 分 别 通过 通道 Mi s M, 收 到 
M1,…,M' 后 ,将 M' 通 过 通道 M 输出 ,可 生成 子 句 message(M, ,Mi ) 人 … A message M, , 
M;) A m-eventCe; (Mo)) 二 message(M,M), 换 句 话 说 ,只 有 在 m-eventCe; (Mo)) 为 真 , 即 
e: (Mo) E E Rf, ZEE M 输出 M 的 行为 才能 执行 。 

例如 ,如 果 事件 ez CM) 和 e (M2) 在 协议 的 某 个 迹 中 被 执行 ,定义 E= Ce (Mi)， 
ez(M:)} , f 1. m-eventCe; CM; )) All m-eventCe; (M:)) HE ,而 其 他 的 m-event 事实 为 假 。 然 
后 ,表明 对 于 事件 e 来 说 ,可 能 被 执行 的 只 有 ea (Mi) 和 e (Ms)。 对 E 中 的 所 有 值 证 明 得 出 
类 似 的 结果 ,从 而 也 证 明了 期 望 的 对 应 性 。 
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为 了 确定 一 个 原子 是 否 能 够 从 子 句 中 派生 ,使 用 基于 归结 (Resolution-based) 的 算法 ， 
归结 执行 的 目标 是 E 中 一 个 未 知 值 。 基 本 上 ,会 不 加 评估 地 保持 me event JRF (HF ER Al 
故 无 法 评估 ) 。 在 归结 的 词汇 表 中 ,从 不 选择 m-event 原子 ,从 而 所 获得 的 结果 对 E 中 的 任意 
值 都 成 立 ,使 得 对 应 性 得 以 证 明 。 为 了 证 明 对 应 性 event(e, (x)) event (e, Cr)) ,需要 表明 
只 有 mr-event(ez(M)) 成 立时 eventCe; CM) ) 才 是 可 派生 的 。 将 最 初 的 子 句 集 转 换 为 可 派生 
同一 原子 的 子 句 集 。 在 所 得 到 的 子 句 集中 ,如 果 能 够 得 到 结论 event(e, (M)) 的 子 句 的 前 提 
中 都 包含 有 m-event(e,(M)) ,那么 ,只 有 当 mr event(e, (M) ) 成 立时 ,event(el (M)) AE BT 
派生 的 ,从 而 期 望 的 对 应 性 成 立 。 

还 有 个 问题 需要 解决 。 为 简单 起 见 ,将 表示 消息 的 项 直接 在 子 句 中 使 用 。 然 而 ,为 了 描 
述 保密 性 分 析 中 的 nonce, 使 用 一 种 特殊 编码 的 名 字 a, 它 由 限制 (va) 创 建 ,并 使 用 一 个 函数 
a[ M, ,…,M,] 来 描述 ,其 中 ,Mi ,…,M, 为 在 限制 (va) 之 上 收 到 的 消息 ,从 而 ,在 分 析 时 收 到 
不 同 消息 后 创建 的 名 字 将 是 可 区 分 的 (这 一 点 对 分 析 的 准确 性 来 说 很 重要 )。 然 而 ,在 这 种 
编码 方式 下 , 当 收 到 相同 的 消息 后 进行 相同 的 限制 所 产生 的 名 字 仍 然 会 被 合并 。 为 解决 这 
一 问题 ,要 给 每 一 个 重复 加 一 个 会 话 标识 i,i 为 一 整数 , 它 对 由 重复 所 生成 的 每 个 进程 副本 
取 不 同 的 值 。 将 这 一 会 话 标识 作为 参数 加 入 到 名 字 的 编码 中 形成 <LM e Musis 
其 中 心 ,…,zr 为 限制 (ve) 之 前 的 重复 的 会 话 标识 。 例 如 ,在 进程 !c(z)(ze) 中 ,由 (va) 创 建 
的 名 字 被 描述 为 cLz, 可 ,每 一 次 重复 的 执行 都 关联 了 一 个 不 同 的 会 话 标识 ,从 而 每 个 名 字 
都 有 不 同 的 编码 。 


4.4.4 从 进程 到 Horn FA 


l. 标识 进程 (Instrumented Processes) 

用 闭 进程 P, 表示 要 检查 的 协议 ,在 检查 前 先 要 通过 改名 ,使 得 初始 时 ,各 进程 、 属 性 、 
环境 ,以 及 敌手 的 初始 知识 等 描述 中 的 不 同 变量 所 使 用 的 标识 符 各 不 相同 。 对 名 字 进 行 编 
码 后 ,将 用 模式 p 来 描述 项 ,其 语法 如 表 4.5 所 示 。 


表 4.5 HEX p 描述 项 的 语法 


pu 模 式 
m.ysm.d 变量 
alpi pem] 名 字 
fi b) 构造 子 应 用 


a[L…] 中 的 a 被 称 为 名 称 函 数 符 ( 这 里 a 用 括号 而 不 用 加 圆 括号 ,只 是 为 了 与 构造 子 相 
区 别 ) 。 如 果 a 是 一 个 自由 名 ,那么 其 编码 可 简单 地 记 为 a[]。 为 了 形式 化 地 定义 与 名 字 相 
关联 的 模式 ,使 用 标识 的 概念 。 标 识 进程 的 语法 定义 如 表 4. 6 所 示 。 


R46 标识 进程 的 语法 定义 


P,Q::= 标识 进程 
"P 重复 
(wa :é)P 限制 
…( 同 标准 演算 


重复 !P 中 被 加 入 一 个 变量 ;用 以 标识 P 的 哪 一 个 副本 ( 即 哪个 会 话 ) 被 执行 。 
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限制 (va)P 被 加 了 一 个 限制 标签 1, 变 成 (va:L)P, 其 中 可 取 两 种 形式 :在 诚实 进程 的 
限制 中 取 a[M, ，…,M sii ott ,inj, 在 敌手 进程 的 限制 中 取 bo LaLa, 5 ++ sty J] 400 是 一 个 用 于 
敌手 的 特定 的 名 字 函 数 符 。 在 此 /可 以 看 做 是 a 的 类 型 (由 于 包含 变量 ,所 以 是 多 态 类 型 )。 

对 于 标识 进程 来 说 ,语义 格局 用 SE PRR HP S 表示 未 被 也 使 用 过 的 会 话 标识 符 
集合 。 EARS. CHAT BHD a[…] 形 式 的 闭 模式 。P 为 标识 进程 的 有 限 多 重 集 。 第 
一 个 语义 格局 用 会 话 标识 符 的 任意 可 数 集 Soo E 的 域 必 须 包 括 刀 中 进程 所 包含 的 所 有 自 
HAS ,初始 环境 将 所 有 名 字 a 映射 为 模式 a[]。 语 义 规则 (Red Repl) 和 (Red Res) E Jj: 


S,E,PU{!iP}—>S\{X},E,PU{P{A/i} ,liP} where AES (Red Repl) 
S.E.PU(Ga:D P) 
—S,E[a'—ECG) ]. PU (P (a' /a) if a’ € domCE) (Red Res) 


其 他 的 语义 规则 E.P E.P fij 3b EJ S, E, P>S,E,P 。 

根据 以 上 关于 标识 进程 的 语法 可 以 将 进程 Po 转换 为 标识 进程 Po — instr CP) , M ifii fii 
得 不 同 的 名 字 不 会 被 验证 器 合并 。 

对 于 敌手 进程 Q 来 说 ,其 标记 进程 记 为 Q 二 instrAdv(Q)。 给 Q 的 每 个 限制 (va) 加 标 
签 [a[s]], 变 成 (va ioo Las]. ,其 中 ;为 进程 标识 符 序列 。 在 此 并 没有 将 以 前 所 收 到 的 消 
息 变量 作为 a 的 参数 ,因为 对 于 Init 敌手 来 说 ,并 没有 确定 的 关于 攻击 者 所 生成 的 nonce 与 
其 所 收 到 消息 之 间 有 何 联 系 的 信息 。 

HER: 通过 把 一 个 限制 从 进程 的 语法 树 中 自 上 而 下 地 移动 , 当 限 制 移 到 输入 、 重 复 、 析 
构 子 应 用 之 下 时 ,可 对 用 以 描述 新 鲜 名 字 的 模式 加 入 更 多 的 参数 。 可 见 , 该 转换 可 让 分 析 更 
精确 。 这 种 转换 可 由 工具 自动 地 完成 。 

例 4.2 由 4.4.1 小 节 中 的 进程 生成 的 标识 进程 : 

PAska » pka s pke) — | Gr. pkg). (va : aLz_phke ia D... Cors : riLz_phkesis])... 

cn)... Cor * ri[x, pkg mi] 

Pilska, pke, pk A) — 1 Cm’)... Cub * b[m' ig D... Coro : rom! ig D... 

P'— (oska * sk [D Cvske * ska D... CPA Cska» pka » pke) | Pn ske, pke, pka)) 

标识 进程 的 语义 允许 它 执行 和 其 相应 标准 进程 相同 的 通信 和 事件 。 

下 面 来 定义 标识 进程 的 对 应 性 。 这 些 对 应 性 和 子 句 使 用 了 由 表 4. 7 所 示 语 法 定义 的 


表 4.7 对 应 性 和 子 句 使 用 的 语法 定义 的 事实 


F::= 事 X 
attacker(p) 攻击 者 知识 
message( p, p’) 通道 上 的 消息 
m-event( p) 必须 事件 
event(p) 可 能 事件 


事实 attacker(p) 表 示 攻 击 者 可 能 拥有 如 ,事实 message( p pO dE iH B. p' 可 能 出 现在 
通道 p 上 。 事 实 m-event (p) RR E fF event (M) 必须 已 经 被 执行 过 (M 对 应 于 p). 
event( 力 ) 表 示 事 件 event(MD) 可 能 已 经 被 执行 过 (M 对 应 于 p)。 对 应 性 中 不 使 用 mm-event(p)， 
但 在 子 名 中 会 用 到 。 


k 


RSRK—_BKSTER 


定义 4.10 4 P, 为 一 闭 进程 , 且 Pj —instrCo) HIME PB 对 于 Init 敌手 来 说 满足 
对 应 性 


F> V (F; ~ 人 event( px) ) 

当 且 仅 当 对 任意 Init 敌手 Q, 对 任意 迹 工 一 S ,Eu,{P1,Q') 一” S',E',P', 其 中 ,Q = 
instrAdv(Q) ,对 任意 a€E dom(E,) 有 E, (a) =al], A f, CP) U InitC dom E) ,如果 存在 替 
换 c, 使 得 7 满足 oF EA TEE o1 j € (l m MESE GIF; =oF, AMA k€ (1,5) T 
满足 事件 (c px ) 。 

引 理 4.1 标记 进程 的 对 应 性 蕴涵 标准 进程 的 对 应 性 。 


2. Horn F 4) $$ ER 

给 定 一 个 闭 进 程 P, 及 一 个 名 字 的 集合 Init, 协 议 验证 器 首先 标记 Po 以 获得 Ps= 
instrCP,) ,然后 生成 一 Horn 子 句 集 描述 协议 与 任意 Init REMIT. FABRA F A 
AF,>F HBA APF FF 为 事实 ,它们 组 成 了 攻击 者 子 句 和 协议 子 句 。 这 些 子 
句 形成 集合 Rp mio WI m-event 由 一 个 闭 事实 的 集合 天,. 定 义 , 使 得 m-event p) Jg C A 
JU m-eventCp) € Fine o Fine FAIS RRE FR vy, tot » Fe 是 事实 的 集合 ,对 应 于 所 人 允许 的 事 
件 集 E。 以 下 分 别 从 攻击 者 的 角度 和 协议 描述 本 身 的 角度 介绍 Horn 子 句 的 生成 。 

首先 ,反映 攻击 者 能 力 的 子 句 可 通过 以 下 方式 生成 。 


XHE— a € Init, # attacker(a[ ]) (Init) 
attacker(b)[2]) (Rn) 
XHE—ZUB RS n TOE f. ,有 

attackerCz; ) A *** AattackerCz, )=>attacker( fr 52,2) (RD 
对 任 一 公有 析 造 子 g ,对 任 一 重 写 规则 CM, e M,)>M in def(g), 有 

attacker C M, ) 人 … A attacker(M, )=attacker(M) (Rg) 
messageCr, y) A attacker (x)=>attacker(y) (RD 
attacker(z) A attacker( y)  messageCz , y) (Rs) 


如 果 cEInit, 可 以 将 子 句 中 所 有 message(c[],M) 的 出 现 用 attackerCM) 来 代替 。 
其 次 ,介绍 针对 协议 的 子 句 。 
当 一 个 函数 o 将 模式 与 每 个 名 字 和 变量 关联 起 来 ,7 为 构造 子 , 通 过 下 式 将 o 扩展 为 一 
个 替换 oOCFCM 5 ++ M,))= f (0M) «O00 « 
进程 己 的 转换 [P ]oH 是 一 个 子 句 集 ,其 中 H J& message(p. p) R m-event JE SKI 
事实 序列 ,环境 p 将 每 个 变量 和 名 字 映 射 到 其 模式 描述 。 互 序列 用 于 跟踪 已 执行 的 事件 及 
进程 已 收 到 消息 ,因为 这 些 可 能 触发 其 他 消息 。Yy 表示 空 序列 。 互 人 下 表示 将 事实 下 串联 
到 序列 五 ,模式 pi 为 一 进程 标识 变量 。 
[o]oH = $ 
[P | Q]oH —[P]eH U[Q]eH 
[VP JoH =[P Koi oibDH 
[Goa : aL M: M, hi DP JoH = 
[P KoLa Halo(M, ) 7 O82 spi) 0G) 1) A 
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[Mco.P]oH = [P KeLx 52 CH. A message(p(M) ,7)) 
[M(N). P]eH =[P ]eH U (H-message(pC M) ,p(N))} 
let x = gCM, ,--: ,Mj)in P else Q]oH =U ([P (op) [Lz o'p) (oH) 
g^ e p^) > p HE def(g) H, EG 为 使 sp(Mi) = o! p^ ens 
oo (M,) = op’, foi — RES U[Q]oH 
[if M = N then P else Q]oH —[P Ka» cH) U[Q]oH 
其 中 ,o 为 pCMD) 和 pC(NN) 的 最 一 般 合 一 (Most General Unifier, MGU) 
event(M). P]oH — [P ]e(H A m-event(pM))) U {H>event(oM))} 

为 简单 起 见 , 对 析 构 应 用 的 转换 中 ,假设 析 构 子 的 else 分 支 总 会 执行 ,在 多 数 情况 下 这 
种 假设 是 多 余 的 ,因为 else 分 支 经 常 为 空 或 仅 发 送 错误 信息 。 

对 事件 的 转换 将 前 提 m-event(o(M) ) 加 入 到 前 提 中 ,表明 只 有 在 该 事件 首先 被 执行 了 
的 情况 下 才 执 行进 程 P。 另 外 ,还 加 入 了 一 个 子 句 , 意 思 是 , 当 互 中 的 所 有 条 件 为 真 时 便 触 
发 了 该 事件 。 

注意 : 可 以 证 明 , 对 不 同形 式 的 对 应 性 ,有 时 可 以 简化 事件 子 句 的 生成 。 假 设 进程 和 对 
应 性 中 所 有 事件 的 参数 为 fM ,…,M,) 形 式 的 。 如 果 事 件 集 event(f(…)) 在 期 望 的 对 应 
性 中 仅 出 现在 收 之 前 ,那么 子 和 句 m-event(f(…)) 形 式 的 前 提 可 被 去 挤 而 不 会 改变 结果 ,这 
时 ,由 事件 event(JM) 生 成 的 子 句 可 被 简化 为 

[ event (MW. P JoH =[ P]oH U{ H=>event(o(M))} 

(直观 地 说 ,由 于 event( fC) ) AMZ HH BE PRRMA+LH KRMRARALE 
3] event(f(…)) 已 经 被 执行 过 ,这 时 ,事实 mrevent(f(…)) 是 无 用 的 。) 

类 似 地 , 如果 event(f(…)) 在 期 望 的 对 应 性 中 仅 出 现在 小 之 后 ,那么 结论 为 
event(f(…)) 形 式 的 子 句 可 被 去 掉 而 不 会 改变 结果 。 这 时 ,由 事件 event(M) 生 成 的 子 句 可 
被 简化 为 


[event (MW. P ]eH =| P ]oXH Am-event(p(M))) 

(直观 地 说 ,由 于 事件 集 event(/(…)) 在 期 望 的 对 应 性 中 仅 出 现在 收 之 后 ,我 们 不 会 去 
证 明 以 下 形式 的 属性 “如 果 event(f(…)) 已 经 被 执行 ,那么 …”, 所 以 结论 为 event(f(*…)) 
的 子 句 是 无 用 的 。) 

这 种 从 协议 到 Horn 子 句 的 转换 引入 了 近似 。 由 于 子 句 可 被 任意 次 地 应 用 ,所 以 行为 
被 隐 式 地 重复 了 。 对 于 那 种 要 求 某 值 保密 ,而 后 又 公开 它 的 协议 来 说 ,这 种 近似 蕴涵 了 工具 
将 不 能 用 来 证 明 这 种 协议 。 例 如 ,考虑 以 下 进程 (vd) (d(s).c(d) 1d(z)), 其 中 在 d 被 输出 
到 公有 通道 c 上 ,从 而 敌手 知道 了 d 之 前 * 是 保密 的 ,因为 这 时 d 是 私有 的 ,而 s 的 输入 与 
输出 都 是 通过 该 私有 通道 进行 的 。 然 而 ,Horn 子 句 方法 不 能 证 明 这 一 属性 ,因为 它 将 进程 
看 成 以 下 附加 了 重复 的 变 体 (ud)(!d GO. © (D | Md G0 ,使 其 不 能 反映 s 在 敌手 知道 d 之 
前 的 保密 性 。 类 似 地 ,进程 (vd) (4d(M) | d(x). d(Cz).event(el)) 永 远 不 会 执行 事件 ei, 但 
Horn 子 句 方法 能 证 明 这 一 属性 , 因为 它 将 该 进程 当成 了 Cvd) Ch d (M) | d Go). d Gr. 
event(e1)) ,使 得 ei 的 执行 成 为 可 能 。 由 于 这 种 近似 ,工具 是 不 完备 的 (Complete)( 它 可 能 
生成 错误 的 攻击 ), 但 这 表明 它 是 可 靠 的 (Sound)( 它 所 证 明 的 属性 总 是 为 真 ) 。 


doo Lip c Ld 


最 后 ,将 以 上 生成 的 子 句 汇总 起 来 便 可 得 到 验证 中 所 需 的 子 句 。 
4 p— (a ma[] la E f,(P%)), 定 义 相 应 于 标记 进程 P' 的 子 名 如下: 
Ry, mi = | P^] o$ U {attacker(a[]) | a € Init) 
U {((Rn), (Rf), (Rg), (RD (Rs)} 
例 4.3 4.4. 1 小节 进程 P 的 子 句 为 敌手 子 句 加 上 以 下 子 句 : 


attacker(pk (ska[ D) (4-2) 
attacker( pk (ska [])) (4-3) 
H,=attacker(pencrypt, CCa[.r. pk sia], pkGkA[ 1) «x. pkssri[x pksi 4D) (4-4) 
H;-»attacker(pencrypt, Cr bx. pkg ri[x pkgs pisi, D) (4-5) 
H;7»eventCe, (pk (sk 4) » pk (ske D sal pk ks UD «ia ],2_b)) (4-6) 
H;=attacker(sencrypt(sAa[_],a[ pk GkgL ]) i42) (4-7) 
H;-»attacker(sencrypt sAb[ ] x. 02) (4-8) 


where p2=pencrypt, CCa[ x. pkg ia ],x br pkg).pkGkA[ D sx r;) 

H, —attacker(z pkg) A nc eventCe; Cpk Gk A[ D «x pkg a[ xr. pkg i4 2 
H,=H, Aattacker( p;) A m-event(e, Cpk Gk A[ D «x. pkg sa[ x. pkg sia ]»x 00) 
H; =H; { pk Gkg[ D /x pkg) 

attacker( pi) A m-event(e Gr, pk » pk (skal D «x. a sb pi is 2 


—»attacker(pencrypt, ( Cr, b[ pi sin], pk Gkg[ D) «x. pka er2[pi sir) (4-9) 
where p, —pencrypt,CCr a,z pka).pkGkg[]D x (ri) 

H,-»eventCes (pk Gk A.D » pk (skal ]) «x. a sb pi in) (4-10) 
H,-»attacker(sencrypt(sBa[ ] ,zx_a)) (4-11) 
H,=>attacker(sencrypt(sBb[],b[Lp’ «is D) (4-12) 


where p; =pencrypt, Gr, a» pk GkA DO « pk Cska [D »x r2 
H, —attacker(Cp;) A m-eventCe; Cpk (ska [C]) , pk Gkg D «x. a0 pi i822 A 
attacker(pencrypt, (OL pi sin], pk (skal) «x 02) 
定理 4.1( 子 句 的 正确 性 ) UE Po 为 一 闭 进 程 ,Q 为 一 Init 敌手 。 令 P; — instr P). 
Q' =instrAdv(Q) , 迹 T 一 S ,Eu,(PI,Q' 一 S,E'P HE f, (Pi) UInitCdom(E,), 对 
所 有 的 a€ dom CE, , E, Ca) —a[ ], (Bri : WELT HL event (p) , 则 m- event (p) € 大 ,并 假设 
TE FARA F AM Re, mi U Fm 中 派生 出 来 。 


4.4.5 求解 算法 


1. 基本 算法 

为 了 应 用 前 面 的 结果 ,必须 决定 一 个 事实 能 否 从 尺 m,ma U FF 中 派生 出 来 。 这 也 许 是 不 
可 判定 的 ,但 在 实际 中 存在 对 大 量 例子 协议 可 终止 的 算法 。 特 别 地 ,可 使 用 归结 算法 的 变 
体 。 首 先 定义 归结 : 

定义 4.11 设 R=H=>C,R' 二 H >C' 为 两 个 子 句 ,假设 存在 F € H'ECH F, 是 
可 合 一 的 ,c 为 C 和 F, 其 最 一 般 合 一 (MGU), 这 时 定义 Res R'=o(HU(H\{F,}))) 
>oC’。 
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获得 高 效 求解 算法 的 一 种 重要 思想 是 在 保持 完备 性 的 同时 指定 限制 归结 的 应 用 条 件 。 

用 在 归结 上 的 条 件 相当 于 自由 选择 的 归结 :选择 函数 在 每 个 子 句 中 挑 出 被 选 出 的 事实 ,归结 
只 被 应 用 在 这 些 被 选择 的 事实 ,也 就 是 说 ,只 有 当 结 论 在 R 中 被 选择 ,F 在 R' 中 被 选择 时 

ASM RH Ros, R. 

定义 4.12 JH sel 表示 一 个 选择 函数 , 即 从 子 句 到 事实 集 的 函数 ,使 得 sel CH CO 
A, MR FE sel(R), 则 称 下 在 R 中 被 选择 。 如 果 sel(R) 一 %, 则 称 R 中 的 前 提 都 未 被 选 
择 ,或 者 子 句 的 结论 被 选择 。 

选择 函数 的 选择 可 显著 地 加 速算 法 。 由 于 只 有 当 在 归结 中 合 一 的 事实 被 选择 时 才 会 引 
起 算法 根据 归结 法 对 子 句 进行 组 合 ,所 以 挑选 选择 函数 以 减少 被 选 事实 间 可 能 的 合 一 数量 。 
存在 被 选 事实 会 减 慢 算法 ,因为 有 更 多 的 归结 选择 可 执行 ,因此 ,在 每 个 子 句 中 最 多 选择 一 
个 事实 。 对 协议 来 说 ,有 r 变量 的 attacker(z) 形 式 的 事实 可 以 和 所 有 有 attacker(p) 形 式 
的 事实 合 一 ,所 以 要 避免 选择 它们 。m-event 事实 永远 不 会 被 选择 ,因为 它们 不 会 被 已 知 的 
子 句 所 定义 。 

定义 4. 13 ”如 果 存 在 变量 c 使 得 事实 下 = attacker(z) ,或 存在 模式 p. 使 得 F= 
m-event(p) , , 则 称 事实 F 是 不 可 选择 的 (Unselectable) ,否则 称 下 是 可 选择 的 (Selectable)。 

安全 协议 的 一 个 基本 的 选择 函数 为 

$ 如 果 对 任意 的 F € H.F 是 不 可 选择 的 
sel (H>C) = 
{Fo} Fo € HAF, 是 可 选择 的 ,否则 

在 实现 中 ,前 提 被 表示 为 一 个 列表 ,被 选择 的 事实 是 前 提 列 表 中 第 一 个 可 选 的 元 素 。 

求解 算法 的 过 程 分 为 两 个 阶段 , 见 表 4.8。 第 一 个 阶段 为 饱和 (Saturate) ,将 子 句 集 转 
换 到 一 个 等 价 但 更 简单 的 子 句 集 。 第 二 个 阶段 为 派生 (Derivable) ,采用 先 深 搜索 的 方法 以 
判定 一 个 事实 能 否 由 子 句 导 出 。 


表 4.8 求解 算法 
第 一 阶段 :饱和 


saturate( Ry) = 
1. R<-$. 
For each RE Ro , R.--elimCsimplify CR) UR). 
2. Repeat until a fixpoint is reached 
for each RE Rsuch that sel(R) =$, 
for each R' € R, for each Fo € sel(R’) such that Reg, R'is defined, 


R--elim (simplify(Re F, RUR). 
3. Return (RER| sel (R)=$}. 


第 二 阶段 : 反 向 先 深 搜 索 


: if 3R'€ R.R'2R 
R) otherwise, if sel(R) —$ 
和 {deriv(simplify’ CR > zr, B {R}UR, RO|R'€m. 
Fo €sel(R) such that R'*z, R is defined) otherwise 


derivableCF , Rı ) — deriv (F>F,$, Rı) 


deriv(R ,及 ,RD) 一 


表 4. 8 中 R。 表 示 最 初 用 以 描述 协议 和 攻击 者 的 子 句 集 ,simplify 为 一 化 简 函 数 ,elim Ph 
数 用 以 消除 被 包含 子 句 。 称 HC, 包含 HC. 是 指 ,存在 一 个 替换 o, 使 得 oC 一 C; A 
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cH, CH;. iB (OH; COS(GI; C. AK E ARE TREH. 

JE ^E Br EIS HAT AR, = saturate(R,) HF HAAS. derivable (F, R, )3R [8] — 4 Z2 3€ 
择 的 子 句 集 R— HC, fb f$ R 可 通过 归结 从 RR! 得 到 。C CHF HX. AMA AMR IRA 
出 的 下 的 实例 都 可 以 通过 将 derivable CF, i) PN — A F A (EW JUR — A 3] ifii Uk ^E 
出 来 。 

搜索 本 身 是 由 deriv(R, RR AGH. AR deriv 从 R= 二 F=>F 开始 ,并 通过 使 用 RR 中 
的 子 句 RMR 的 前 提 进 行 变形 ,以 派生 R 前 提 中 的 一 个 元 素 F, ,这样 R 就 被 R'。s,R 代替 
(deriv 定义 中 的 第 三 种 情况 )。F 的 选择 使 用 选择 函数 sel。 集 合 及 为 在 搜索 过 程 中 已 经 看 
到 过 的 子 句 的 集合 。 最 初 凡 为 空 , 子 句 尺 在 deriv 定义 的 第 三 种 情形 下 被 加 入 到 入 中 。 

上 述 对 R 的 变形 一 直 进行 ,直到 下 列 两 个 条 件 满足 : 

COD) R 被 尺 中 的 子 句 包含 :这 时 进入 循环 ,正在 找 的 是 以 前 已 经 找 过 的 事实 的 实例 。 

(2) sel(R) 为 空 ;得 到 适用 子 句 R 并 返回 它 。 


2. 简化 步骤 
COD 数据 构造 子 的 分 解 。 函 数 decomp 将 attacker Cf Cpi +++, PD TER BTE SE BRN 
attacker pı) 人 … A attacker( p,) , 24 3x — $E 36 JH FFA) H attacker C fC p.s 0,00 E wt 
AUCH n JEBIT 5:H-eattackerCp) € (1,7). PAR decomphyp 仅 在 子 句 的 
前 提 中 进行 这 种 分 解 。 
(2) 消除 同 义 反 复 。 函 数 elimtaut 将 那些 结论 已 经 在 前 提 中 的 子 名 去掉。 
(3) 消除 重复 前 提 。 函 数 elimdup 将 子 句 的 重复 前 提 去 掉 。 
(4) 消除 无 用 的 attacker(z) 前 提 。 如 果子 句 H— C 的 前 提 中 包含 有 attacker(z) ,其 中 
工 为 一 变量 , 且 attacker(z) 在 子 句 的 其 他 地 方 未 出 现 , 则 前 提 中 的 attacker(z) 将 被 函数 
elimattx HRM. BLE ,攻击 者 总 会 拥有 至 少 一 个 消息 ,所 以 attacker(z) 总 是 满足 的 。 
(5) 秘密 假设 。 如 果 用 户 知道 一 个 事实 F 是 不 可 派生 的 ,他 可 以 将 此 告诉 验证 器 。 令 
Tu 为 用 户 声明 的 不 可 派生 的 事实 集合 ,函数 elimnot 会 消除 掉 所 有 前 提 中 有 ,中 事实 实 
例 的 子 句 。 例 如 ,由 于 攻击 者 不 能 知道 主体 的 私 钥 , 所 以 可 以 将 attacker Cska [D 和 
attacker(sks[]) 声 明 为 不 可 派生 事实 。 
这 种 不 可 派生 事实 对 搜索 空间 实施 剪 枝 ,通过 消除 无 用 子 句 加 速 了 搜索 进程 。 下 面 为 
总 的 求解 算法 。 
solvep, „mi CF) = 
(D Let Ri —saturateCRr, nic) 
@ For each F' € F, sif derivable(F' , R4) 5$. then terminate with error 
(3 Return derivable(F, Ri) 
(6) 消除 宛 余 前 提 。 当 一 个 子 句 的 形式 为 H A HC. HFE o ETE CHCH’, Hoo A 
改变 五 "和 C 中 的 变量 , 则 由 函数 elimredundanthyp 将 该 子 句 替换 为 H'—C. 
(7) 将 所 有 简化 集中 起 来 。 
simplify— elimattx»elimtautelimnot* elimredundanthyp: elimdup* decomp 
simplify’ — elimattx» elimnot: elimredundanthyp: elimdup*decomphyp 


simplify’ 中 使 用 了 decomphyp 而 不 是 decomp, 原 因 在 于 它 所 考虑 的 子 句 的 结论 是 要 派 
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生 的 事实 , 它 是 不 能 被 改变 的 。 
3. 可 靠 性 
引 理 4. 2(saturate 的 正确 性 ) ” 设 下 为 一 个 闭 事 实 。 如 果 对 所 有 F E Fin FAS BY 
不 能 由 saturate(Ro) U Foe IRAE ABA F FY h Ro U Foe IRAE + 4 HALM F AY HH saturate(R。) 
U Fine IRAE o 
5] 2 4.3 (derivable 的 正确 性 ) 设 所 为 的 一 个 闭 实例 。 如 果 对 所 有 的 FC Fons 
derivable(F”,R,) =$, BA F’ Fl HR U Fe 派生 , 当 且 仅 当 存在 一 个 c, 且 HC 中 存在 一 
个 子 句 ,使 得 oC 二 F , H oH 中 的 所 有 元 素 可 由 R1U Fine RAE 
定理 4.2( 主 定理 ) b P, 为 一 个 闭 进程 , 且 Ps 一 instr(P。),Q 为 一 hit 敌手 , 且 Q= 
instrAdv(Q) 。 考 虑 一 个 迹 T= SE, (Ph QU —" SE’. PK fn CP) U Init 
dom(E,), 且 对 所 有 的 a€ dom(E,) 有 Eo,(a) 二 a[]。 如 果 T 满 足下 的 一 个 实例 F', 那 么 存在 
一 个 子 名 H=>CE solver, mi CF) ,一 个 替换 oa, 使 得 下 二 oC, 且 对 oH 中 所 有 的 wm-event(p),T 了 满 
足 event(p)。 
定理 4.2 是 主要 的 正确 性 结果 , 它 允 许 人 们 证 明 一 些 事 件 一 定 已 经 被 执行 过 。 
例 4.4 XE 4.4.1 | TERR P, Init= (c), P'—instrCP) , 工具 表明 
solver i (event (ep Gri «a2 +23 52400) — Um-eventCGei (pkaspks+p.)) A 
m-event(Ce; (pka » pkg Pas y)? A 
m-event(e;(pkas pkr» pas pr) 
—»event (ep(pka, pkgs p.» i22) 
其 中 ， 
pka = pkGk4[ D» pke = pkGks[ D «pa = a[pks in] 
by = b penerypt, CCo, spka) ,phke ril pkg sia D sin] 
根据 定理 4. 2, 如 果 T 满 足 eventler Cpi » pos ps s 000 HEE event (ep Cri s 225 23, 
Zi)) 的 一 个 实例 ,这 样 ,给 定 solver,m Cevent (ep Gri s £2, 25 52400 BU f BU] T£ YE c, 使 得 
event(CegCpi » p2» Ps , 力 ) ) 一 aevent(Cea(CbKA » pke» paspi)) ELT i I 
event(ge; (pka, pkg p.) ) — event(Cei (pi ,ps p3)) 
event(ge; (pk as pke» p. » py) ) — eventCezCpi » p2» ps s p4)) 
event(ge; (pka » pke «p, s pa) ) =event(e; (pi «po s ps +ps)) 
因此 ,如 果 事 件 event Ces CM; , M; , M; ,M,)) 执 行 过 , 则 事件 event Ce, CM; , M; ,Ms ))， 
event(es CM; .M; ,Mi ,M, ) ) 及 eventCe; CM; ,M: „M; ,M, )) 已 经 被 执行 过 。 
4. 应 用 于 对 应 性 
标记 进程 的 对 应 性 可 根据 以 下 定理 来 检验 。 
定理 4.3. 4 P, 为 一 闭 进 程 ,是 PI 一 instr(P,) 4 pe GE (1, m) k€ 0,745) 
为 模式 , 令 FMF (jE {1,…,m)) 为 事实 。 假 设 对 所 有 的 RE solves mi F) ,存在 JE (1. 
eum) so R H fif] R=H \ nr evento’ pj) A+ AmceventG'p; ) 一 oF), 则 已 对 于 Init 政 


手 来 说 满足 对 应 性 F> V (F; ~ 人 event (pa) ) 。 
j^ k-i 


tos Lir: 


RESER 


定理 4.4 与 定理 4. 3 类 似 , 只 是 针对 标准 进程 , 即 非 标记 进程 。 

定理 4.4 4 P, 为 一 闭 进程 , 且 P; —instrC P). Ma GE (0, m) k€ (1,5) 
为 项 , 令 a fla; GE {1,…,m) 为 原子 。 令 py FIF; 分 别 为 将 项 和 原子 Mj «aso; 中 的 名 字 a 
替换 为 模式 a[] 后 所 得 到 的 模式 和 事实 。 假 设 对 solver, mi FP) PH PA FA) R FE jE 
{1, m)o RH fiif R=H Am-eventG' pa) Av A m-eventCo' p ) o F; » Mill P, 对 于 


Init 敌手 来 说 ,满足 对 应 性 o> V (a; > 人 event(My)). 


推论 4.1( 保 密 性 ) 令 P, 为 一 闭 进程 , 且 P; instr P) A N 为 一 个 项 , 令 p 为 将 项 
N 中 的 名 字 a 替换 为 模式 a[] 后 所 得 到 的 模式 。 假 设 solver, m (attacker(p)) =$, Bl] Po 对 
于 Init 来 说 保持 了 所 有 N 的 实例 的 秘密 性 。 

推论 4. 2 ( 非 单 射 协定 ) $ Po 为 一 闭 进 程 , 且 P=instr(P,)。 假 设 对 任 一 


RE solver ,mn(event(e(z1,…,7,))) 使 得 R = H => event Ce (pi, …， 加 ))， 有 
m-eventCe Cpi » 5,0) EH, W) Po 对 于 Init 敌手 来 说 满足 对 应 性 eventCeGri m0 
event(e Gr, ,***,2,)), 


本 节 通 过 利用 逻辑 编程 技术 ,扩展 了 前 人 在 安全 协议 验证 方面 的 工作 。 该 技术 可 用 于 
验证 各 种 安全 属性 :从 保密 性 到 通用 的 对 应 性 ,不 仅 包括 认证 性 ,而 且 包 括 可 表达 消息 以 期 
望 的 顺序 被 发 送 或 接收 的 对 应 性 。 这 一 技术 可 以 以 完全 自动 的 方式 来 检查 对 应 性 , 且 不 限 
制 协 议 的 会 话 次 数 。 在 算法 的 终止 性 方面 ,可 以 证 明 , 对 于 一 种 特定 的 附加 标号 的 协议 来 
说 ,算法 是 终止 的 。 利 用 该 工具 对 一 些 现 有 协议 的 验证 结果 表明 ,许多 已 知 的 协议 缺陷 均 可 
通过 该 工具 发 现 ,上 且 用 该 技术 验证 这 些 协 议 只 需要 少 于 1s 的 时 间 。 


4.5 形式 化 方法 的 计算 可 靠 性 


通常 ,在 设计 、 分 析 、 实 现 使 用 密码 技术 的 系统 时 ,以 一 种 抽象 的 视角 来 对 待 密码 操作 已 
足够 了 。 例 如 ,用 一 种 高 级 的 描述 来 表示 加 密 而 忽略 加 密 函 数 的 细节 是 一 种 很 方便 的 做 法 。 

对 于 密码 操作 来 说 ,近年 来 至 少 有 两 种 不 同 的 抽象 观点 ,它们 都 是 一 致 的 .有 用 的 ,但 却 
截然 不 同 , 几 乎 可 以 说 来 自 于 两 个 互 不 相干 的 群体 。 其 中 一 种 观点 将 密码 操作 看 成 是 符号 
化 (形式 化 ) 表 达 式 空间 上 的 函数 ,其 安全 属性 也 被 形式 化 地 建 模 。 另 一 种 观点 将 密码 操作 
看 成 是 位 串 的 函数 ,其 安全 性 以 成 功 攻击 的 概率 及 计算 复杂 性 来 定义 。 

这 两 种 观点 之 间 存 在 着 一 种 间隙 ,以 下 将 介绍 如 何 弥合 这 一 间隙 。 为 了 描述 这 两 种 观 
点 ,将 作 两 种 关于 对 称 密 钥 的 考虑 :一 种 较 简单 ,基于 形式 化 系统 ; 另 一 种 稍 复杂 ,基于 计算 
模型 。 然 后 ,以 定理 的 形式 给 出 将 这 两 种 考虑 关联 起 来 的 可 靠 结果 :用 形式 化 方法 可 证 明 的 
保密 性 在 计算 模型 中 也 保持 为 真 。 


4.5.1 形式 化 加 密 和 表达 式 的 等 价 


本 节 主 要 描述 密码 的 形式 化 观点 ,给 出 加 密 操 作 的 表达 式 空间 以 及 两 个 表达 式 相等 价 
的 含义 。 


P 
BAR BAKPRBRSFE 7 


1. RA 

用 Bool 表示 {0,1) ,用 0.1 可 以 拼写 出 一 些 消息 ,如 数字 、 主 体 名 等 。 用 Keys 表示 与 
Bool 不 相交 的 ,固定 的 、 非 空 的 符号 集 , 符 号 K, K',K”,… 及 Ki ,K:,… 均 在 该 集合 中 。 非 
形式 地 说 ,Keys 中 的 元 素 表示 密 钥 , 由 主体 随机 地 生成 ,但 形式 化 地 说 , 密 钥 是 原子 符号 ,而 
不 是 位 串 。 用 Exp 表示 表达 式 的 集合 , 它 由 如 表 4. 9 所 示 的 语法 定义 。 


表 4.9 用 Exp 表示 表达 式 的 集合 的 语法 定义 


M,N:= 表达 式 
K 密 钥 (KE Keys) 
i {iL GE Bool) 
(M,N) 并 置 
(M)k 加 密 (KE Keys) 


其 中 ,并 置 与 加 密 可 以 内 套 ,如 表达 式 ({{(0,K")}x)x ,K)。 需 要 强调 的 是 ,Exp 中 的 
元 素 是 形式 化 的 表达 式 , 而 不 是 实际 的 密 钥 \ 位 、 并 置 或 加 密 。 特 别 地 ,它们 是 明确 的 ,如 
(M,NN) 等 于 CM ,N') 当 且 仅 当 M 等 于 M' 且 NN 等 于 N', 它 永远 不 会 等 于 {M'}k ,类 似 地 ， 
(Mik SF UM" e 当 且 仅 当 M EFM AK 等 于 K'。 然 而 ,根据 下 文 的 定义 , (M) 和 
{M'}x 也 许 是 等 价 的 ,甚至 当 M 与 M' 不 同 ,K 与 K' 不 同时 也 会 如 此 。 

以 下 考虑 一 些 对 表达 式 的 限制 。 如 果 存 在 N, WN) 为 M 的 一 个 子 表达 式 , 且 K 
在 NN 中 出 现 , 则 称 K 在 M 中 加 密 了 K'。 对 每 一 M ,以 上 定义 了 密 钥 上 的 二 元 关系 , 即 “ 加 
密 ” 关 系 。 如 果 与 M 相关 的 “加 密 ” 关 系 是 循环 的 ( 非 循 环 的 ), 则 称 M 是 循环 的 ( 非 循 环 
的 )。 如 ,{K})x ACK} OK HO BA ORI eil CK e ,{0}x) 是 非 循 环 的 。 


2. 等 价 关系 

首先 ,定义 一 种 获取 关系 MEN. MAN 为 表达 式 。 直 观 地 说 ,M FN 表示 NN 可 
以 从 M 中 计算 得 出 。 形 式 化 地 定义 该 关系 如 下 。 

(1) MHO and MF 1, 

(2) MHM, 

(3) if MHN; and MEN, then ME (N,.Nz). 

(4) if ME CN . N2) then MHN; and ME Nz. 

(5) if MHN and MHK then MFH {N}k. 

(6) if ME {N}x and MHK then MHN. 

MEN 的 定义 建 模 了 在 攻击 者 没有 关于 M 中 所 用 到 密 钥 K 的 先 验 知识 的 情况 下 ,可 从 
M 中 获取 的 消息 。 例 如 , AUK Iso KOH Ks UK Je, jx KOH (Ki dx, BL 
(UK D, jx KEK, 是 不 成 立 的 。 

从 以 上 定义 可 派生 出 一 种 更 一 般 的 定义 :在 有 关于 K 的 先 验 知识 的 情况 下 ,从 M 中 获 
EN, 等 价 于 在 没有 先 验 知识 的 情况 下 从 (CM,K) 中 获取 N. 

其 次 ,引入 一 个 符号 口 , 它 表示 一 个 攻击 者 不 能 解密 的 密 文 。 定 义 模式 的 集合 Pat 作为 
表达 式 集合 的 扩展 ,其 语法 如 表 4. 10 所 示 。 
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R410 HA Pat 作为 表达 式 集合 的 扩展 的 语法 定义 


M,N:= Box 
K SESICK € Keys) 
i 位 (i€ Bool) 
(M,N) 并 置 
(Mix Ans CK € Keys) 
不 可 解密 


直观 上 ,模式 就 是 一 种 表达 式 , 不 过 在 这 种 表达 式 中 可 能 存在 有 攻击 者 不 能 解密 的 部 
分 。 给 定 一 个 密 钥 集合 工 及 一 个 表达 式 M ,可 以 通过 定义 以 下 函数 将 M 转换 为 模式 。 
bBOK.T)—K (K € Keys) 
pG, T)—i (i € Bool) 
BCM, N),T)=(p(M,T),p(N,T)) 
{pCM,T)}: KET 
pM) T= 其 他 
直观 上 ,该 函数 的 结果 就 是 当 攻 击 者 拥有 了 中 的 密 钥 时 ,所 能 够 从 M 中 看 到 的 模式 。 
进一步 地 ,可 以 定义 在 没有 辅助 集合 T 的 情况 下 ,表达 式 M 的 模式 ,这 时 只 能 使 用 从 
表达 式 本 身 可 得 到 的 密 钥 集合 。 
pattern(M)=p(M,{KEKeysIMH- K)) 


例如 ,有 
pattern C( (Ki) y, }x, KD — CL i, +K) 
最 后 ,来 定义 等 价 。 称 两 个 表达 式 是 等 价 的 , 当 且 仅 当 它们 生成 相同 的 模式 : 
M=N 当 且 仅 当 patternCM) 一 patternCN) 
例如 ,有 
({{Ki}r, bx, » Ks)=({ {0}n, bx, K3) 
因为 它们 都 生成 模式 ({ 口 }xs K)o 
可 以 将 密 钥 看 作 约 束 名 ,从 而 可 以 重 命名 。 例 如 ,虽然 ({0}x,K) 和 ({0}x KO ERE 
价 的 ,但 重 命名 后 它们 就 是 等 价 的 了 。 更 一 般 地 ,定义 可 重 命名 下 的 等 价 关 系 为 衬 : 
M= N 当 且 仅 当 存在 Keys 上 的 双 射 ,使 得 M= No. 
其 中 ,No 是 将 o 作为 一 个 蔡 换 应 用 于 N 的 结果 。 虽 然 宇 没有 三 严格 ,但 它 可 以 顺利 地 
用 于 可 靠 定理 中 ,因此 这 里 主要 讲解 宇 。 在 非 正式 情况 下 ,不 区 分 这 两 种 关系 ,而 将 它们 都 
称 为 等 价 。 
3. 一 些 例 于 
(1) 0&0. 
(2) 0341, 
(3) (05k. 
(4) (K, {0} ACK, (040 B CK {CO} we 00 2 CK C1} 00 30. 
(5) KAK’ ,但 KSK ,因为 在 衬 中 密 钥 可 以 换 名 ,而 在 二 中 不 可 以 。 
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(6) (0) Z0) e MAB 8 (0) c (1) e (虽然 两 个 密 文 是 用 不 同 的 密 钥 加 密 的 ) 。 

(7){0}x 宕 {K)x, 尽 管 {K)}x 上 循环 的 。 

COD I LD REA ADIDI tols: 

(9) ({(0)jx,{0jk) 宕 ({(O)jx,{1)x)。 

非 形式 地 ,如 果 攻击 者 没有 密 钥 ,那么 它 将 不 能 检测 到 两 个 被 加 密 的 明文 是 否 是 相同 
的 。 在 实现 中 ,这 种 等 价 可 由 随机 加 密 函 数 来 保证 。 

(10) C0) (104080) (1). 

非 形式 地 ,如 果 攻 击 者 没有 密 钥 ,那么 它 将 不 能 检测 到 两 个 密 文 是 否 使 用 了 相同 的 
密 钥 。 


4.5.2 计算 的 观点 : 对 称 加 密 方案 及 其 安全 性 定义 


本 节 将 给 出 对 对 称 加 密 的 计算 处 理 方法 。 首 先 , 描 述 构造 对 称 加 密 方案 的 函数 ,其 次 说 
明 对 称 加 密 方案 的 安全 性 。 我 们 所 关注 的 安全 性 ( 称 其 为 类 型 1 安全 ) 比 通常 意义 上 的 安全 
性 更 强 ( 如 语义 安全 等 )。 然 而 ,可 以 通过 标准 的 复杂 性 理论 假设 来 实现 类 型 1 安全 。 


l. 对 称 加 密 方案 
ik String= {0.1} 为 所 有 有 限 串 的 集合 ,|z| 为 串 z 的 长度 。Plaintext\Ciphertext 及 
Key 为 有 限 串 的 非 空 集 合 。0 为 Plaintext 中 的 一 个 特定 串 。 如 果 对 一 个 不 在 Plaintext 集 
合 中 的 串 进 行 加 密 形 成 一 个 密 文 ,那么 对 该 密 文 进行 解密 将 得 到 0。 设 € Plaintext, W z^ 
表示 Plaintext 中 所 有 与 x 有 相同 长 度 的 串 。Key 被 赋予 了 一 种 固定 的 分 布 (如 果 Key 是 有 
限 的 ,那么 Key 上 的 分 布 是 均匀 分 布 )。Coins 为 无 穷 串 {0,1)",Parameter( 安 全 参数 的 集 
合 ) 为 1" (由 1 组 成 的 有 限 串 )。 
对 称 加 密 方案 是 由 3 个 算法 构成 的 三 元 组 (K,E,D) ,其 中 
K: Parameter X Coins 一 Key 
E: KeyX String X Coins—Ciphertext 
D: Key XString—Plaintext 
以 上 每 个 算法 都 是 输入 大 小 的 多 项 式 时 间 可 计算 的 。K 为 密 钥 生成 算法 ,E 为 加 密 算 
法 ,D 为 解密 算法 。 通 常 将 E 域 DD 的 第 一 个 参数 , 即 密 钥 写 在 下 标的 位 置 上 。 对 所 有 VE 
Parameter, k € KC i) ,rE Coins, 如 果 m € Plaintext, W) D; C£, Cm. 7)) =m, {AMR m € 
Plaintext, W D, C£, (m.r)) —0. Hb. 24 k E KODET, | £ GO | SURF qM I| WERE 
加 密 的 定义 是 随机 的 、 无 状态 的 。 


2. 关于 加 密 方案 的 安全 性 

首先 来 看 一 个 安全 加 密 方案 (所 具备 或 不 具备 ) 的 属性 。 这 里 选 出 加 密 方案 的 3 种 特 
征 ,第 一 种 和 第 三 种 是 广为人知 的 ,第 二 种 似乎 还 没有 受到 关注 。 

CD 重复 隐藏 与 重复 泄露 

给 定 密 文 c 和 c ,能 否 判 断 出 其 相应 的 明文 是 相等 的 ? 如 果 可 以 , 则 称 该 方案 是 重复 泄 
露 的 ,否则 是 重复 隐藏 的 。 一 个 重复 隐藏 方案 必须 是 随机 的 (或 者 有 状态 的 ) 。 

(2) 相同 密 钥 隐藏 和 相同 密 钥 泄露 

如 果 有 各 种 密 钥 对 消息 进行 加 密 ,能 否 判断 出 哪些 消息 是 用 同一 密 钥 加 密 的 ,如 果 可 


b 
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以 , 则 称 该 方案 是 相同 密 钥 泄露 的 ,否则 称 其 是 相同 密 钥 隐藏 的 。 

(3) 消息 长 度 隐藏 和 消息 长 度 泄露 

密 文 是 否 泄露 了 其 背后 明文 的 长 度 ? 如 果 是 , 则 称 该 方案 是 消息 长 度 泄露 的 ,否则 称 其 
是 消息 长 度 隐藏 的 。 

这 3 种 特征 是 正 交 的 , 它 可 形成 8 种 组 合 ,分 别 将 这 8 种 安全 概念 称 为 类 型 0、 类 型 1、 
类 型 2、……、 类 型 7。 其 中 的 数字 以 以 下 方式 决定 :隐藏 对 应 于 0, 泄露 对 应 于 1, 将 以 上 3 
种 特征 解释 为 3 位 的 二 进 制 数字 ,第 1 位 表示 重复 隐藏 或 重复 泄露 ,第 2 位 表示 相同 密 钥 隐 
藏 或 相同 密 钥 泄露 ,第 3 位 表示 消息 长 度 隐藏 或 消息 长 度 泄露 。 根 据 这 种 表示 ,通常 所 用 的 
安全 性 一 般 是 类 型 3 安全 的 , 即 密 文 可 泄露 消息 长 度 以 及 使 用 了 哪个 密 钥 ,但 它 不 能 泄露 两 
个 密 文 是 否 是 对 同一 个 明文 的 加 密 。 

其 次 来 看 加 密 循环 。 给 定 一 个 类 型 n 安全 (mE {0,…,7}) 的 加 密 方案 也 一 (K,2,D) ,可 
构造 一 个 具有 以 下 属性 的 类 型 n 安全 的 加 密 方案 了 =K, £' DO :如 果 给 敌手 哪怕 只 有 一 


个 cE4(k) 形 式 的 密 文 ,那么 了 也 将 变 得 完全 不 安全 。 不 仅 用 加密 上 是 有 问题 的 ,而 
且 更 长 的 循环 也 会 出 问题 。 例 如 ,一 个 加 密 方案 是 类 型 3 安全 的 ,那么 在 以 下 情况 下 它 将 变 
得 不 安全 :用 a 加 密 5, 然 后 将 a 与 2 的 角色 倒 过 来 ,用 5 加 密 a, 因 为 将 这 两 个 密 文 并 置 起 
来 ,也 许 会 很 平凡 地 将 a 和 4 全 都 泄露 。 因 此 ,这 里 只 关注 没有 加 密 循环 的 表达 式 。 


3. 加密 方案 安全 性 的 定义 (类 型 0、1、3) 
定义 4.14( 类 型 0 安全 ) ” 设 了 二 (K,E,D) 为 一 加 密 方案 ,wnE Parameter 为 一 安全 参 
数 ,A 为 一 敌手 ,定义 


def R 
Adv, CA) Pr k , k’ <= KGp ; AO (p) = 1] 


-Plk E op. Ano (y = 1] 

如 果 对 所 有 概率 多 项 式 时 间 的 敌手 A , Adv; (4A) 是 可 忽略 的 , 则 称 加 密 方案 也 是 类 
型 0 安全 的 。 

在 第 一 个 概率 中 ,括号 中 的 量 描述 了 执行 一 个 实验 后 的 事件 。 在 该 实验 中 ,通过 运行 密 
钥 生 成 算法 ,独立 地 产生 两 个 密 钥 上 Ak ,然后 运行 敌手 A ,敌手 具有 两 个 应 答 器 :一 个 
左 应 答 器 f 和 一 个 右 应 管 器 g。 如 果 敌 手 向 左 应 答 器 f 请 求 一 个 查询 mE€ String ,应 答 器 返 
回 一 个 用 对 m 的 随机 加 密 值 ,类 似 地 ,如 果 敌 手 向 右 应 答 器 g 请 求 一 个 查询 m€ String, 
应 答 器 返回 一 个 用 k' 对 m 的 随机 加 密 值 。 

在 第 二 个 概率 中 ,其 实验 只 用 密 钥 生成 算法 K 生 成 了 一 个 密 钥 。 敌手 也 有 两 个 应 答 器 ， 
一 个 左 应 答 器 f 和 一 个 右 应 答 器 &。 当 请 求 一 个 查询 m 时 ,应 答 器 忽略 该 查询 ,而 是 选取 


c -£, (0) ,并 返回 c 。 一 个 用 k 对 m 的 随机 加 密 值 , 类 似 地 ,如 果 政和 手 向 右 应 答 器 & 请 求 一 
个 查询 mE String ,应 答 器 返回 一 个 用 k' 对 m 的 随机 加 密 值 。 

类 型 0 优势 是 指 以 上 两 个 概率 的 差 。 直观 上 ,如 果 敌 手 不 能 根据 其 输入 /输出 行为 将 以 
上 两 种 加 密 盒 区 别 出 来 ,那么 相应 的 加 密 方案 就 是 类 型 0 安全 的 。 

类 伏地 ,可 以 定义 类 型 1 安全 和 类 型 3 安全 。 同 定义 4. 14，&(，) 是 一 个 应 答 器 ,对 输 
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定义 4.15( 类 型 1 安全 ) WE IL— (K,2,D) 为 一 加 密 方案 ,7E Parameter 为 一 安全 参 


增 
BAR 形式 化 分 析 理 了 纶 与 方法 


数 ,A 为 一 敌手 ,定义 
Advigg (A) Spip k’ E Gp, Ao Cy) = 1] 


— Prk S ap; Afi e y = 1] 
如 果 对 所 有 概率 多 项 式 时 间 的 敌手 A , Advirn (A) 是 可 忽略 的 , 则 称 加 密 方案 荆 是 类 
型 1 安全 的 。 
定义 4.16( 类 型 1 ZE) E IL—- OC £D) 9 — JI 8 7j € «€ Parameter 为 一 安全 参 
数 ,A 为 一 敌手 ,定义 


Advira (A) psp E Gp, Ae (p = 1] 


— Prik < KG); A80 G) = 1] 
如 果 对 所 有 概率 多 项 式 时 间 的 敌手 A , Adv (A) 是 可 忽略 的 , 则 称 加 密 方案 也 是 类 
型 3 安全 的 。 
类 型 3 安全 是 标准 的 ,而 类 型 0 和 类 型 1 安全 不 是 ,但 类 型 0 和 类 型 1 安全 可 以 通过 类 
型 3 安全 来 构造 。 


4.5.3 形式 等 价 的 计算 可 靠 性 


本 小 节 通 过 以 下 两 步 将 两 种 密码 观点 关联 起 来 :首先 ,表明 给 定 一 个 加 密 方案 卫 , 如 何 
将 总 体 关联 到 一 个 表达 式 M ;然后 表明 在 合适 的 假设 下 ,表达 式 的 等 价 可 导致 总 体 的 不 可 
区 分 性 。 

l. 将 总 体 关 联 到 表达 式 

令 卫 一 (K,2,D) 为 一 个 加 密 方案 ,7E Parameter 为 一 个 安全 参数 ,给 每 个 形式 化 表达 式 
ME Exp 关联 一 个 申 [M jxw 上 的 分 布 ,从 而 形成 一 个 总 体 [M ]* 。 这 种 关联 构成 了 表达 式 的 
一 个 具体 语义 。 具 体 关 联 如 下 。 

CD 首先 ,将 M 中 出 现 的 每 一 个 密 钥 符号 K 通过 使 用 密 钥 生成 器 K(7) 映 射 到 一 个 位 
串 (K). 

(2) 将 形式 化 位 0 和 1 映射 到 其 标准 串 描述 。 

(3) 通过 并 置 M 和 N 的 像 来 得 到 (M,N) 的 像 。 

(4) 通过 计算 Ew (z) 得 到 形式 化 加 密 {M) xk 的 像 , 其 中 工 为 M 的 像 。 

(5) 在 所 有 情况 下 ,对 串 描述 都 加 上 其 类 型 ( 即 “key”,“bool”,“pair”,“ciphertext”) ,以 
避免 混淆 。 

更 精确 的 定义 如 下 : 

algorithm INITIALIZE, (M) 


for K € Keys(M) do r(K) = KGp 
algorithm CONVERT(M) 
if M — K where K € Keys then 
return (r(K), " key") 
if M — b where b € Bool then 


return (b,“bool”) 


0 
i 安全 该 到 一 一 理 纶 与 实践 


if M = (M, M: )then 
return (CONVERT(M, ), CONVERT(M,) ."pair") 
if M = (Mj)y then 


z 2 CONVERT(M)) 


y En GO 

return( y , “ciphertext” > 
其 中 KeysCM) 表 示 所 有 在 M 中 出 现 的 密 钥 符 号 ,用 (xz,… ,zi AREIS zx1，… ,zr 的 一 般 编码 
串 。 辅 助 的 初始 化 过 程 将 每 个 Keys (M) 中 的 密 钥 映射 到 一 个 的 密 钥 r( 天 ) ,一 个 串 在 
[M]xp 中 的 概率 可 由 算法 CONVERTCM) 得 出 。 


2. 等 价 性 草 涵 不 可 区 分 性 

下 面 来 证 明 等 价 的 表达 式 对 应 于 总 体 的 不 可 区 分 性 ( 即 MSN WLM ]v<[ N Jo). 

定理 4.5 HM N 为 非 循环 表达 式 , 匠 为 类 型 0 安全 的 加 密 方案 ,如 果 MSN, W 
[Ml MN Jae 

证 明 用 混合 论证 的 方法 来 证 明 。 由 于 证 明 过 程 较 复杂 ,在 证 明 的 同时 用 一 个 例子 来 
说 明 。 整 个 证 明 分 为 以 下 几 个 阶段 。 

CL) 密 钥 重 命名 。 大 致 说 来 ,该 阶段 的 目标 是 通过 密 钥 重 命名 的 方式 修改 表达 式 M 和 
N ,使 得 patternCM) 王 pattern(N) 。 另 外 ,M 有 隐藏 密 钥 K,,…,K,,N ARIK), 
K, ,其 中 , 仅 当 I 宇 i A OK, 加 密 K;。M MN 均 有 可 获取 (Recoverable) 密 钥 Ji ++I, 

首先 对 KeysCM) 进 行 划分 : 

recoverable(M) = {K € Keys(M) | M-K) 
hidden(M) = KeysCM) — recoverable( M) 

Ü p= | recoverable(M) | ,m=|hidden(M) | ,构造 一 个 图 Gu — (V Eu ,其 顶点 Vw 一 
hidden(M) ,Ew rfi K >K 4 HA 4 K 在 M 中 加 密 K'。M 的 非 循环 性 意味 着 Gw 是 非 
循环 的 ,从 而 可 以 重 命名 Keys(M) 中 的 密 钥 ,使 得 隐藏 密 钥 为 K! ,…,K,, 可 获取 密 钥 为 
Ji J, BK; K,€ Ey 蕴涵 着 I 之 i, 也 就 是 说 ,给 M 中 层次 越 深 的 密 钥 关联 一 个 越 小 的 
数字 。 设 表达 式 M 为 通过 以 上 重 命名 后 所 得 到 的 结果 。 

例如 , 设 M 为 表达 式 ( 这 里 省 去 了 逗号 和 括号 ) ,用 abcd 表示 (((a,b),c)，,d): 

(0), {Ki 1), Ko (0), (Keb, (KikKs}x, {1 1 1}%,0(Ki D, (Ks }r, 

从 而 有 : 

Keys(M)={K; Kz Ks Ka, Ks Ks) 
recoverable(M) — (K; . K;) 
hidden(M) — (K; .K; .K, Ke) 

图 Gy — (Vy Ew) Bii Vu — UG KK, KoM Ki >K, Ki >K; Ka Ko Ko 
Ki , 重 命名 为 (K K2, Ki Ki Ko KO OS Ji Ki Kis Ji ,Ks), 得 到 一 个 新 的 表达 式 
RM (0), {Ki Ux, Ji (0), (Ks hx, (KıK2}x, {1 1 1)5,0(K 9, (Jobs, o 

由 于 M 兰 N, 根 据 重 命名 下 等 价 的 定义 ,存在 Keys ND E B8 PRÉC o 使 得 pattern MD = 
patternC No) ,在 这 两 个 模式 中 出 现 的 密 钥 分 别 为 recoverable(M) 和 recoverable( No) ,从 而 它们 
是 相等 的 。 而 且 , 由 于 hiddenCN) 中 的 密 钥 被 关 在 符号 口中 ,所 以 在 hidden(N) 上 的 取 值 是 
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无 关 紧 要 的 。 这 样 ,根据 非 循环 性 ,再 将 这 些 密 钥 重 命名 为 K ,… K, ,使 得 仅 当 >i A OK, 
加 密 K;。 可 以 得 到 一 个 函数 of 和 NN ,使 得 N'— No ,M'—N', 
recoverable(M’) = recoverable(N’) = {J 1, MJ 
hidden(N’) = (Ki K,) P4 I >i it, K, 在 N PINE K: 
继续 前 面 的 例子 , 令 N 为 表达 式 
{1 Da OG, Ki (Ks, Xo), (03, {1 1 1), 0(0 0}, {Ks }x, 
A mi , recoverable(N) ={K,,Ks3},hidden(N) — (Ks Ks Ks) Ef A (Ki Ko Ks Ks Ks) 
为 (Ji Ks ,Js Ki + Ke) ,得 到 相应 的 表达 式 N 
OD, Use, Jil Ja), (Ke}x, (03, {1 1 1)5,0(0 0), {J2}, 
注意 : N'oo 和 Mim 中 的 隐藏 密 钥 数 不 同 ,但 可 获取 密 钥 数 是 相同 的 。 
(2) 模式 混合 。 在 本 阶段 ,引入 模式 My M, ,…,M。 和 No,Ni,…,N,, 使 得 这 些 模式 
在 M 和 NN' 之 间 形成 一 个 链 , 使 用 前 面 定义 的 p 函数 , 令 
M:=p(M' ,recoverable(M’) U {K; ,*…,K;}) 
其 中 ,Ki,…,K, 为 M' 中 的 隐藏 密 钥 ,i€E {0,…,m)。 特 别 地 ,有 M = pattern M^, 
M, 一 M 。 类 似 地 ,对 于 jE (05 n) 
N; = PCN’ ,recoverable(N’) U (Ki, K;D 
TESI. N,— pattern NO N,—N'.. EDIUIB UE «M, AlN, 为 假设 攻击 者 拥有 关于 隐藏 
密 钥 的 先 验 知识 Ken HK; 时 ,分 别 在 在 M' 和 N' 中 所 看 到 的 模式 , 密 钥 的 顺序 保证 了 利用 
这 些 知识 不 能 发 现 其 他 的 隐藏 密 钥 。 
在 前 面 的 例子 中 ,有 


My: {ox (Gy J (Og UG), Go Kx, (111); 0 {Kii (Jeb, 


M: (0h, O h (bx, 口 口 011040 {Koe Jan 

M:: O A (04 O0 a 011),0 Usb 

M: D A oO 口 口 011,0 Uan 

M: n = 口 口 (011),0 Usb 
I 

No: h oO oO o 011,0 Uan 
Nit 口 JA 口 口 (De {111}, 0 Us) 
Net O A O o {lm {111),0 (00) (Jan 
Ns: 00D (Jobe, Ji (Jobe, {Kz}x, (x, 115,0 (00) {Jan 
I 

N 


TEE. pattern M) =M, =N, — pattern N^), 

(3) 定义 模式 的 总 体 。 接 下 来 ,将 每 一 个 模式 Mo eom M, Nosto N, 分 别 映射 到 一 个 
总 体 [Mo]n,…,[LMoJ]a'[LNo]n,…,[No]n 上 ,该 映射 可 通过 扩展 前 文 的 CONVERT 算法 而 
得 到 ,使 其 不 仅 可 用 于 表达 式 ,而 且 可 用 于 模式 。 这 个 扩展 很 简单 :任何 时 间 遇 到 符号 口 , 它 
用 一 个 新 的 、 固 定 的 密 钥 ( 除 此 之 外 ,该 密 钥 没 有 其 他 用 处 ) 对 0 进行 加 密 , 并 将 加 密 结果 返 
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回 。 具 体 来 说 ,在 Initialize 中 加 入 下 面 一 行 : 
«Ko = KQ) 
在 CONVERT 中 加 入 以 下 几 行 ， 
if M = [O then 


yÈ £a, 0) 
return( y,“ciphertext”) 
(4) 寻找 大 间隙 。 由 于 M 和 M“ 的 不 同 仅 在 于 其 中 下 标的 不 同 , 显 然 有 [ MJ =[M Jo 
类 似 地 ,有 [ N]=[N]", 因 此 ,目标 就 是 要 证 明 [ M] NJ. 
用 反 证 法 :为 了 得 到 与 了 为 类 型 0 安全 的 相 了 矛盾 的 结果 ,假设 存在 一 个 敌手 A 能 够 区 
BLM’ ]n ALN’ J HE MA 运行 多 项 式 时 间 , 且 


Gp PiLy [M]: AG =11-PrLyZ [N's: AG» 1] 
是 不 可 忽略 的 ,也 就 是 说 ,存在 常数 ,存在 无 穷 集 NM, 对 所 有 DENA AGD 5. WO 
m,ls«jsn.B5&E SX 
pip —PrLy = [M, Jory * AG 2 71] 


a, Gp — PrLy —-[N; Jan * AG 0 21 
简洁 起 见 ,下 文 有 时 会 省 略 参数 7。 由 于 M' 王 M。,N' 王 N,, 有 ) 一 加 一 ‰%。 另 外 ,由 于 M 
和 N“ 所 生成 的 模式 相同 ,所 以 还 有 名 一 。 由 此 ,可 得 到 下 式 : 
2 = GO, — Pt) Osa — be ++ GO = po) 
+ (qo — qi) (n — g) T H (a — Gn) 
这 样 ,就 将 4 RAR Mm +n 项 的 和 。 根据 三 角 不 等 式 ,或 者 存在 i € {1,…,m} 使 得 
Dim b ZA/Gnd i ,或 者 存在 JE (1,…,n) ,使 得 gj- 一 gq; 宇 A/(m 十 n)。 而 且 , 对 每 一 个 
7EN, 都 存在 这 样 一 个 合适 的 下 标 i 或 j ,由 于 和 式 项 的 数目 是 有 限 的 、 固 定 的 ,从 而 存在 一 
个 对 无 穷 多 的 JE 都 适用 的 这 种 下 标 i 或 j, 由 于 下 标 为 i 或 为 j 的 情况 是 类 似 的 ,不 妨 取 
该 下 标 为 i。 因 此 ,存在 一 个 无 穷 集 N" CN, 对 每 一 个 7EN ,有 p Gp — pea (7D) 宇 ACD/ 
(m+n). 
在 例子 中 ,假设 存在 敌手 可 以 以 0. 5 的 优势 区 分 [ My Jaa Ml Ns Jan» WEM Jant 
N Jaca ,从 而 敌手 至 少 会 以 0. 50/7 的 优势 区 分 以 下 各 对 之 一 :[ Ms | mw 和 [ Ms ] ren; 
Ms Jap FL Mz Jac | M: Jor OL M. Jand M Tas f Mo Jansi No J ma AL Ni Jays 
Ny Jaca 和 [ Ne ]aca SEN: Daca 和 [ Ns Jac: 。 例 如 ,假设 该 对 为 [ Ms ] rp 和 [ Me ao; , 则 当 从 
M, ] pa 中 抽样 时 A 回答 1 的 频率 将 实质 性 地 大 于 从 [ Me ]acn 中 抽样 时 A 回答 1 的 频率 。 
(5) 与 了 的 类 型 0 安全 相 矛 盾 。 假 设 A KAM]. [M Cs] ,通过 使 用 A ,可 构造 一 
个 敌手 A, HEBER I RN 0 RAE. A 可 由 以 下 算法 定义 : 
算法 AS* Cp) 


[ 
[ 
[ 
[ 


for K € Keys(M’) do rCK) p 
y Č CONVERT2(M’) 
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b AG») 
return b 
算法 CONVERT2(M" ) 
if M* =K where K€ Keys then 
return(r(K) ," Key") 
if M* =b where bE Bool then 
return(5, *bool") 
if M* =(M; . M; )then 
return CONVERT2(M; ),CONVERT2(M; ) ,"pair") 
if M —(My }x then 
if K€ (Jii J, Ky e+ Ko) then 
z “CONVERT2(M; ) 


R 
y Er (x) 
return( y ,"ciphertext") 
else if K — K; then 
R 
x <-CONVERT2(M; ) 


ye f(z) 
return (y, “ciphertext” 
else if KE (Ki Kn} then 
y~g (0) 
return (y, “ciphertext” 

在 该 算法 中 ,A, 访问 了 两 个 应 答 器 ,上 和 g ,它们 可 分 别 进行 两 种 实例 化 :第 一 种 情形 
是 将 Ex (，) 作 为 应 答 器 /, 其 中 随机 选择 k: EOD ,将 Eu (。) 作 为 应 答 器 5, 其 中 随机 选 
择 ko EKODI — MIDE F E, (0) 既 作为 /又 作为 g ,其 中 随机 选择 ko KO). XXI A 

pi(7) 一 Prlkisko Zap : AR, Of (p) = 1] 
bua 一 Pr[ ko kop ARO = 1) 

因为 当 f= EC), g= E, C* Bt, CONVERT2 OMO i8 E — 4 [ M; ]v 的 抽样 ,而 当 
J= Er, (0) += Ex, (0) 时 ,CONVERT2(CM') 返 回 一 个 [ Mi ] n hh E, i A A E ERER 
立 的 。 注 意 , 在 两 种 情况 下 ,用 可 获取 密 钥 K 的 加 密 均 对 应 于 用 相应 rc(K) 的 加 密 , 用 在 
{Ki1,…,K;1}) 中 的 隐藏 密 钥 K 的 加 密 同 样 对 应 于 用 r(K) 的 加 密 , 而 用 在 {Ki ，… ,KK,} 
中 的 隐藏 密 钥 的 加 密 将 导致 用 ko 对 0 加 密 。 对 第 一 个 等 式 来 说 ,用 的 隐藏 密 钥 K; 的 加 
密 同样 对 应 于 用 k; 的 加 密 ,对 第 二 个 等 式 来 说 ,用 隐藏 密 钥 K; 的 加 密 将 导致 用 ko 对 0 
加 密 。 由 此 ,还 有 

Advi (A) = PrE ki, ko 2 KG) Af 89 Cp) = 1] 
— Pre, Gp Af 9909 (9 = 1] 
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= pip — pa) 
对 无 限 多 的 EN 中 大 于 (mm 十 z)) ,可 以 得 到 
Advitg (Ao) > AGD / m+ n) 
3g /GO-cm 
Lg? 
从 而 ,Advira(Ao) 是 不 可 忽略 的 。 不 出 所 料 ,该 结论 与 假设 也是 类 型 0 安全 的 相 矛 盾 。 
继续 完成 前 面 的 例子 ,假如 从 [ M; ] ro 中 抽样 时 A 回答 1 的 频率 将 实质 性 地 大 于 从 
[Me jx; 中 抽样 时 A 回答 1 的 频率 ,可 通过 构造 一 个 成 功 的 敌手 A, 来 表明 也 不 是 类 型 0 
安全 的 。 该 敌手 分 别 依赖 于 两 种 被 实例 化 的 应 答 器 f 和 g ,这 两 种 实例 来 自 于 类 型 0 安全 
的 定义 。 第 一 种 实例 中 ,4A, MIM, Joc 中 抽样 ,然后 调用 A, 第 二 种 实例 中 ,A, AIM Tar 
抽样 ,然后 调用 A。 因 此 ,A, 回答 1 的 次 数 将 实质 性 地 大 于 第 一 种 情况 。 
定理 4.5 给 出 了 一 种 渐 近 的 安全 声明 。 其 实 , 从 其 证 明 过 程 来 看 ,不 难 找到 一 个 相应 的 
具体 安全 声明 。 


4.5.4 不 完备 性 


也 许 有 人 会 问 , 定 理 4. 5 的 逆 命 题 成 立 吗 ? 也 就 是 说 ,不 可 区 分 性 蕴涵 等 价 性 吗 ? 答案 
是 否定 的 。 原 因 很 简单 ,如 果 应 用 算法 时 ,所 给 的 表达 式 M 和 M“ 引 起 加 密 方案 也 对 其 明文 
空间 Plaintext 之 外 的 串 进 行 加密 , 那 么 ,即使 M 和 M' 不 等 价 , 给 它们 所 关联 的 总 体 也 将 是 
相同 的 。 

这 说 明 ,在 输入 反常 的 情况 下 定理 4. 5 的 逆 是 不 成 立 的 ,那么 是 不 是 将 加 密 的 输入 限定 
在 明文 空间 之 内 ,以 上 逆 命 题 就 成 立 了 呢 ? 答案 也 是 否定 的 。 本 节 将 提供 一 个 自然 的 反例 
来 避免 以 上 提 到 的 反常 情形 ,但 同样 可 得 到 否定 的 结论 , 即 AR 逻辑 是 不 完备 的 。 

为 方便 描述 ,用 BLOCK 来 代替 AR 逻辑 中 的 BOOL 集 , 它 表示 分 组 符号 的 有 限 集合 ， 
每 个 符号 表示 一 个 固定 长 度 的 位 串 序列 (BOOL 中 仅 包 含 了 表示 0 和 1 的 符号 ) ,相应 地 , 模 
式 的 定义 中 涉及 BOOL 的 量 也 用 BLOCK 来 代替 。 另 外 ,将 函数 recoverable 建立 在 男 一 函 
数 Fi 上 ,Fu 定义 在 输入 ( 正 ,T)EExpXP(Keys) 上 , 它 返 回 仅 用 集合 TPA ATM E 中 
恢复 出 来 的 密 钥 集 。 这 样 , 可 以 将 recoverable(E) E 32g M 35x E "Pi np PORE h AS 34] ,如 
果 考 虑 集合 包含 序 关系 ,可 将 recoverable(E) 看 做 函数 Fu,(E,。 ) 的 最 小 不 动 点 。 从 算法 的 
角度 ,该 集合 可 很 容易 地 以 以 下 方式 得 到 : 给 一 个 表达 式 ,归纳 定义 集合 GE) 4G (E), 
Gs(E),…, 其 中 G;(E) 为 (从 不 用 密 钥 开始 )i 次 应 用 Fu (E,，) 恢 复出 的 密 钥 ,然后 取 
recoverable(E) 二 UU;G;:(E)。 注 意 ,所 有 的 G;(E) 都 是 玉 中 所 出 现 的 密 钥 符号 集 的 子 集 , 且 
fH $—G, CE)CG, CE) C CG,GE) C, VA EH SUA JURP PROC RT EUR SE SCIT: 

(D F.(B,T)=T; 

(2 F,COK,T)—(K)UT; 

(3) Fe (Eo E1), T) =F ye (Eo >T) U Fe (Ei 1); 

(4) Fy ({E}xr,T)=T,if KET; 

(5) Fy {E}x»T)=F,(E,T) if KET; 

O G G)-$ 

© G,(E)=F,, (E.G,-, (E)) 
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(3) recoverable(E) = UG; CE) —G;g CE) 

以 下 给 出 不 完备 的 反例 。 考 虑 两 种 位 串 的 表示 ,一 种 显 式 地 附加 了 类 型 标签 , 另 一 种 没 
有 附加 类 型 标签 ,在 两 种 情况 下 加 密 函 数 的 输入 都 在 所 描述 的 范围 之 内 。 

(1) 无 标签 描述 。 设 {Fi}ier 为 伪 随机 函数 簇 ,其 中 F,:(0,1)17— (0,1)7,1,— (0,1), $E 
义 明文 空间 P— (0.1)" E ff BRO =K «£ «DOT. 

CD 密 钥 生 成 算法 K': 输入 m IC 随机 地 从 了 rae fE— 4203€ CHI A JR A 9s Je M 
中 选择 的 一 个 随机 函数 )。 

Q 加 密 函数 E': 用 KET, Xm EP METI BBE, Cm) =r || (F.C) GO nO p rÈ 
新 生成 的 随机 数 , || 表示 串 的 并 置 ,四 表示 位 的 异 或 操作 。 为 简化 起 见 , 以 下 将 省 略 括号 ,并 
假设 四 的 优先 级 高 于 ||. 

@ 解密 函数 D' : 对 于 密 文 (r || C) ARN D Cr || O =F. IOC. 

可 以 验证 ,对 于 密 钥 k ANTAL m H D CE; 0) = m Mi E YE R RR CF }jien 是 伪 随 机 
的 假设 下 ,该 方案 是 类 型 0 安全 的 。 

现在 ,考虑 两 个 表达 式 ，E m CK), ,Ki) 及 Em (Ks), ,Ks) ,其 模式 如 下 。 

pattern(E,) = ({K;}x, K1) 
pattern(E,) = ([]. K;) 

这 两 个 表达 式 即 使 是 在 重 命名 的 情况 下 也 不 等 价 ,也 就 是 说 ,在 所 给 逻辑 中 不 等 价 。 现 
在 ,考虑 在 安全 参数 为 时 这 两 个 表达 式 所 关联 的 概率 分 布 (ri || Fa GO Es e Os II 
Fr, GG ks ka) JEP sri rs eis ks ks 是 {0,1)* 上 相互 独立 的 均匀 分 布 ,这 两 个 分 布 是 
相同 的 。 第 一 个 表达 式 的 分 布 中 ,开头 部 分 和 结尾 部 分 分 别 为 六 和 ki, 它们 是 随机 的 ,而 
且 是 独立 的 ,中 间 部 分 Fa C CO Ks 将 固定 值 Fu (~ ) 与 一 个 独立 的 随机 值 Ks 相 异 或 ,从 
而 它 也 是 随机 的 。 类 似 地 ,第 二 个 表达 式 的 分 布 也 是 随机 的 。 可 见 , 虽 然 在 逻辑 中 这 两 个 表 
达 式 不 等 价 ,但 其 分 布 却 是 相同 的 。 

形式 化 语义 和 计算 语义 的 差别 可 以 非 形式 化 地 表述 如 下 : 在 形式 化 语义 中 , 隐 式 地 假 
设 了 只 有 当 解 密 密 钥 为 时 , 才 可 以 成 功 地 解密 {M) ,而 且 对 于 解密 来 说 只 有 两 种 结果 ,要 
么 成 功 ,要 么 失败 。 通 常 在 加 密 方案 中 没有 这 种 假设 ,因为 拥有 一 个 密 钥 k 并 不 能 帮助 一 
个 人 区 分 出 一 个 密 文 是 用 k 加 密 的 ,还 是 用 另 一 个 与 不 同 的 k' 加 密 的 。 注 意 ,如 果 使 用 
了 类 型 标签 ,这 一 反例 就 不 成 其 为 反例 了 。 这 时 , 密 钥 符 号 & 的 像 成 为 (T(k),“key”) ,对 这 
类 消息 的 密 文 进行 解密 ,通过 检查 标签 便 可 查 出 是 否 使 用 了 错误 的 密 钥 进行 解密 。 下 一 个 
反例 将 表明 ,使 用 类 型 标签 还 是 不 能 解决 问题 ,至 少 对 于 有 限 明文 空间 的 加 密 方案 来 说 是 这 
样 的 。 

(2) 标签 描述 。 用 以 上 定义 的 加 密 方案 II =K «€ ,D') 构 造 一 个 新 的 加 密 方案 = 
OC £D) ,其 明文 空间 为 P— (On. “key”)|mE{0,1)?) ,其 中 7 为 安全 参数 。 密 钥 生 成 算法 
KAGK 相同 ;加 密 算法 2 ((mm，key”)) 一 Et(z)， 即 用 大 对 (mkey”)E 忆 加 密 时 , 先 忽 略 标 
签 , 然 后 直接 用 E4(，。) 加 密 即 可 ;对 密 文 c 解密 时 ,Dit(Cc) 一 (D'(c)“key”), 即 先 直接 用 
Dy + ) 解 密 , 然 后 在 结果 后 面 加 上 标签 “key” 后 再 输出 。 不 难 检验 , 当 只 对 P 中 的 消息 进行 
加 密 时 ,这 种 方案 是 正确 的 ,而 且 是 类 型 0 安全 的 。 这 时 再 来 看 两 个 表达 式 所 对 应 的 分 布 : 
Cr; |l Fi, Gi) Oks» "ciphertext") , (ki , "key" )) Al Cre || Fs, (r2) Oks. “ciphertext ”)) , 
(《ks,“key”)), 其 中 rz、ki1、ks、ks 是 (0,1)? 上 相互 独立 的 均匀 分 布 。 可 以 看 出 这 两 个 
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分 布 还 是 相同 的 。 
4.5.5 完备 性 定理 


上 一 小 节 表明 了 类 型 0 的 安全 性 不 足以 支持 AR 逻辑 的 完备 性 。 所 给 出 的 反例 还 表 
明 ,不 支持 的 原因 在 于 对 于 给 定 的 密 文 和 密 钥 ,不 能 确定 该 密 文 是 否 是 用 该 密 钥 加 密 的 。 本 
小 节 对 这 一 想法 作 进一步 探讨 : 当 给 加 密 方案 附加 一 定 的 条 件 时 ,AR 逻辑 就 是 完备 的 了 。 
将 该 条 件 称 为 无 混淆 ,并 表明 标准 的 加 密 方案 就 是 无 混淆 的 。 

1. 无 混淆 加 密 与 认证 加 密 

无 混淆 属性 可 非 形式 化 地 描述 如 下 : 随机 地 、 独 立地 生成 两 个 密 钥 , 当 用 其 中 一 个 密 铀 
加 密 时 ,用 另 一 个 密 钥 将 只 能 以 可 忽略 的 概率 解密 。 

定义 ALATCREGEHD BW D= (D Gp Di Gp Di Gp 128246 RMA EGER AR ,也 是 安全 
参数 为 7 的 对 称 加 密 方案 , 称 卫 对 D 来 说 是 无 混淆 的 , 当 且 仅 当 存 在 一 个 可 忽略 函数 vo 使 
得 对 任意 1<i<! 有 


PrLk, s ks S KG) sr Dip: Da, (Ex, (2) L] op Gp (4-13) 

WR RHEA EAR BABE TCE A BY UE 工 是 无 混淆 的 。 

认证 加 密 的 概念 可 形式 化 地 表达 如 下 : 多 项 式 时 间 的 敌手 甚至 在 看 到 过 多 项 式 多 个 随 
机 选择 的 消息 的 密 文 后 ,也 只 能 以 可 忽略 的 概率 生成 有 效 的 密 文 ( 未 解密 的 密 文 用 上 表示 ) 。 
此 处 主要 介绍 明文 的 完整 性 ,或 称 之 为 INT-PTXT 安全 ,定义 如 下 。 

定义 4.18( 安 全 认证 加 密 方案 ) 设 了 ==(K,E,D) 为 一 对 称 加 密 方案 ,针对 IT BA ETE 
的 敌手 为 一 多 项 式 时间 算 法 A, 它 可 以 访问 加 密 应 答 器 Ei(。), 应 答 器 对 每 次 敌手 的 查询 
m, 以 独立 的 随机 加 密 方式 返回 Ei (m)。 认 证 加 密 方案 的 安全 性 可 用 以 下 实验 来 定义 : 随机 
生成 密 钥 (使 用 安全 参数 p HAEC ) 实 例 化 地 加 密 应 答 器 。 然 后 让 敌手 与 应 答 器 交 
互 , 交 互 结束 时 由 敌手 输出 一 个 伪造 的 密 文 c( 要 求 敌 手 从 未 向 应 答 器 询问 过 Di(c) 的 密 
文 ), 如 果 有 Di(c) 取 1( 即 c 为 有效 密 文 ), 就 认为 敌手 成 功 。 如 果 敌 手 成 功 的 概率 为 的 一 
个 可 忽略 函数 , 则 称 该 方案 具有 认证 性 。 

以 下 引 理 建立 了 安全 认证 加 密 方案 与 无 混淆 之 间 的 关系 。 

引 理 4.4 设 卫 二 (K,E,D) 为 一 个 安全 认证 加 密 方案 ,那么 对 于 任意 多 项 式 时 间 可 抽 
样 分 布 的 有 限 集 来 说 ,了 是 无 混淆 的 。 

证 明 设 克 为 一 个 安全 认证 加 密 方案 ,D 一 {Di Cp Ds Gp s Di) HAA AT 
抽样 分 布 的 有 限 集 ,对 每 一 个 1<i<i, 定 义 一 个 针对 匡 的 认证 性 的 敌手 A,, 并 给 A; 提供 一 
个 应 答 器 6 ,其 中 ,k 是 随机 选择 的 , 且 A; 不 知道 k。 但 在 此 处 A; 并 不 引用 应 答 器 , 它 只 是 
以 新 鲜 的 随机 生成 因子 通过 运行 上 生成 另 一 个 随机 密 钥 e , 按 D; 分 布 选择 一 个 随机 的 明文 
> 并 输出 HE, (z) 作 为 伪造 密 文 。 由 于 A; 没有 询问 过 应 答 器 ,根据 互 的 安全 性 ,其 成 功 
的 概率 o Gp — PEE EK e TA: Gp Di CO E 10 186 C BERT IER ME. S 
vp (q) —max v, Gp ,不 难看 出 ,vp 也 是 一 个 可 忽略 函数 。 根 据 vp 和 A, 的 定义 立即 可 知 , 对 


所 有 i 二 1,…,4, 分 布 总 体 D; 的 混淆 概率 至 多 为 Pr[k EKO, k: EK: £ D; M): 
Di (Ex, VE DIKY Kva) e 
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2. 完备 性 定理 
定理 4.6 设 区 为 一 个 类 型 0 的 安全 认证 加 密 方案 ,或 者 更 一 般 地 ,一 个 类 型 0 安全 的 
无 混淆 加 密 方案 。 如 果 E, ME 为 非 循环 表达 式 ,那么 
E, S E, 当 且 仅 当 [ E, ES [ E Jap 
“ 仅 当 ” 方 向 为 可 靠 性 结果 ,前 文 已 证 ,“ 当 ”方向 为 完备 性 结果 ,将 在 此 证 明 。 


证 明 思路 : 主要 要 表明 从 下 的 位 串 描述 ( 即 抽样 e 忆 [ 忆 Janey ?中 可 以 以 很 高 的 概率 恢 
复出 形式 化 描述 下 E 的 模式 。 为 此 ,引入 分 别 对 应 于 函数 Fu 和 recoverable, 但 定义 在 位 串 
上 ,而 不 是 表达 式 上 的 函数 ,然后 证 明 利用 新 构造 函数 从 EE 的 位 串 中 得 到 的 模式 ,与 从 正本 
身 在 可 换 名 情况 下 得 到 的 模式 是 等 价 的 。 

恢复 密 钥 : 设 玉 为 固定 的 表达 式 ,eE[El]nw 为 相应 分 布 上 的 随机 抽样 ,zr 为 密 钥 赋值 ， 
则 从 位 串 中 可 恢复 出 的 密 钥 集 合 为 

r(recoverable(E)) = {r(K) | K € recoverable(E)} 

可 用 以 下 算法 定义 函数 Cu String X P( Key) > P( Key) 和 Crecoverable; String> 
P(Key) ,直观 地 看 ,它们 分 别 是 函数 Fu II recoverable 在 计算 模型 下 相对 应 的 函数 ,其 中 的 
一 些 表示 不 难 在 形式 化 模型 下 找到 其 相对 应 的 表示 。 


Algorithm C,,(e,tT) Algorithm Crecoverable(e) 
if e= (b, * block") output tT T,<-$;cont<true 
if e=(k,“key”) output ¢TU {k} while cont 
if e= (On, n) , “pair”) output Cu Gn, tT) U Ta 4Cr (e, T;) 
Ci (n,tT) if Ti; =T; then cont<-false 
if e= Cc," ciphertext") then else i<-i+1 
if for exactly one &€ tT. D,Cy)z5 LE. output T; 


then output, C, CD, CO tT) 
else output tT 
引 理 4.5 UE IL 9 — A CIR AI BIT E € Exp. TC- Keys. e 为 根据 分 布 [E jcw 选 
择 的 一 个 位 串 ,r 为 密 钥 赋值 ,那么 存在 可 忽略 函数 v, 使 得 
Pr[C Ce CD) Æ GOGVCOE,DD]«|I EITI vip (4-14) 
WEBB 设 v 为 与 表达 式 E 相关 联 的 可 忽略 函数 ,通过 对 E 的 结构 使 用 归纳 法 来 证 明 。 
in E=B, H BEBlock, 则 e 具 有 (5b,“block”) 的 形式 ,其 中 5 为 分 组 B 的 期 望 描述 。 
这 时 有 Fi.(E,T)= 二 TICw(e,r(T))==r(T)= 二 rt(Fw(E,T)), 因 此 
Pr[C Cesr(T))# {rCFu(CE,T)) = 1— PrL Ci Ce CT) 
一 r(Fu(E,T))] 一 0 
WMR ESK, I e FA GOO ." key MER ,根据 Fe 和 Cu 的 定义 ,有 
F,,(E)= {K} U T and C,Ce, CT) = «CD) U z{K} 
= c(T U (KD = «GO T) 
从 而 
PrLCu(e,r(T)) 4 c(F,.(E,T))] 一 1 一 PrLCu(e,r(T)) 一 r(Fu(CE,T))] 一 0 


R 
如 果 E—(CE, E, ,那么 e RA e— (Ce e» "pair E SS HEH e; < [E; Jay 一 0,1。 
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根据 Fe 和 Cu 的 定义 ,有 
F,CE) — F&CE,.T) U FueCE,T) and Cu le,r(T)) 
= Celei CT) U C Ce »t(T)) 
由 此 ,有 以 下 不 等 式 : 
Pr[ Cw Ceo se(T)) Æ «CF (CE,T)) 
委 Pr[Cu(eo,r(T)) Æ CF (Eo, T) or Celei CD) z eC (Ei T))] 
X Pr[ C, leo sr(T)) F t(Fu CE, T))] + PLC lei CT) F cP (Ei T) D 
结合 归纳 假设 ,有 
Pr[C, Cese TD Æ €(GFCE, T) ] | Eo || T | vGD E || T | v 
—-(QqEHIEbDITIv-IEIITIvo 


如 果 E— (Ej) IBA e RH Eao (ey) “ciphertext” JE SR JEP e, 4 [Eo Jupe SLA 
下 两 种 情况 。 

COD 如 果 天 和 人工 ,根据 Fu 的 定义 ,有 FLCE.T)— T. RE Cu 的 定义 ,为 了 使 集合 C. Ce, 
r(T)) 与 r(T) 不 同 , 则 必须 成 功 地 用 r(T) 中 的 一 个 密 钥 对 Er Ce ) 进 行 解密 。 然 而 这 将 违 
反 荆 的 安全 性 。 形 式 化 地 ， 

Pr[C, C CT) A GC. TIX PiE3 k € D * De Go C) #LI 


< >) PLD Gao C5) 天上] 


kEAT) 
由 于 天 代 T,r(CK) 与 上 Er(T) 是 独立 生成 的 ,根据 工 的 无 混淆 性 ,有 Pr[Di CE 5 Co ALI 
<ul) ,从 而 可 得 
Pr(C, Ce, zCT)) Æ (Fe (E, T) ]«IlI TI vp «| EIITI vp 
(2) 如 果 KET, 根 据 Fu 的 定义 ,有 Fu CE) T) - FíCET), is Cu 的 定义 ,有 以 
下 不 等 式 
Pr[Cu(Ceyr(T)) 一 rzCFu(E,T)) 
> Pr[C, (eu,r(T)) = rCFu(CEo,T)) and V k; 
€ cCDNMGGO! * De, Exo eo)) = 11] 
= 1 — Pr[Ci Ce CD) Æ cCF GE; T)) or 3 k; 
€ «CDNGUO) * De, GG) 211] 


> 1— (PDC Co CDD Æ GLO, T))] 


+ 3 PED, Ewe) 311) 


k € DNO) 
由 于 区 是 安全 认证 方案 ,因而 ,对 任意 k: € CIN OO ) ,不 等 式 PrLDu Eo (eo AF 
LIK RA ,结合 归纳 假设 有 
1—QE IE TI op C TI-DwGDZ1—-(O E H-DITIvG 
S1-|E||T| v) 
可 以 得 到 
Pr[Cu Ce CD) Æ {tF E DD] <| E || T | vGp 
88 4.6 设 了 =(K,E,D) 为 一 个 无 混淆 的 加 密 方案 ,EE Exp,e 为 根据 分 布 [E Jao 
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择 的 一 个 位 串 ,z 为 密 钥 赋 值 ,那么 存在 可 忽略 函数 v(。 ) ,使 得 
Pr[ Crecoverable(e) # r(recoverable(E))] <| E |*v(q) 

WEB) 设 v 为 与 表达 式 E 相关 联 的 可 忽略 函数 ,通过 对 五 的 结构 使 用 归纳 法 来 证 明 该 
引 理 。 考 虑 用 于 定义 recoverable 的 集合 $— G, CG, C- (Bl Ga, =F, (E, G:)) Ma 
Crecoverable 的 过 程 中 所 计算 出 的 集合 $— T, C T, Co CHI Ti — C0, le, TD In H A; 表 
示 第 i 次 迭代 事件 ,T; 二 tr(G;) ,注意 到 A 为 空 ,从 而 A 的 发 生平 凡 地 为 真 ,有 

Pr[Ain 之 Pr[LA A Ai] = PrLAa | AiJPr[A;] = (1—Pr[ 7 Aia | A])Pr[A] 
将 引 理 4. 5 的 结论 应 用 于 所 有 的 A; ,可 得 
Pr[ T4, = r(G;n)] 

= (1— Pr[C, (e, T.) z «CF (E,G,)) | T; = «GO DPiLT, = c(G,)] 
za-EIIGI v) PILT; = z(G;)] 
zOa-jiEe vC) Pi T; = r(G;)] 

由 于 以 上 不 等 式 中 i 的 任意 性 ,可 将 其 蔡 换 为 i 一 1,i 一 2,… ,从 而 得 到 

Pr[T; = «(G)]z (0. —| E |? v(p))‘PrlT, = r(G,)] 
= a-|E [up 21— i | E |v) 

由 于 互 中 所 有 密 钥 的 数量 显然 是 不 大 于 | 五 | 的 , 且 在 每 次 迭代 中 至 少 有 一 个 密 钥 被 恢 
复 ( 否 则 就 停止 迭代 ), 从 而 有 i 二 1E|, 因 此 Pr T; eG; C) JE | Ev Gp ,由 此 立即 可 得 
引 理 的 结论 : 

Pr[Crecoverable(E) Æ r(recoverable(E))] <| E Lu) 


模式 计算 : 已 经 证 明 , 给 定 。 1 [E Ja ,可 以 以 不 可 忽略 的 概率 计算 出 赋 给 recoverable(E) 
中 密 钥 的 密 钥 值 ,下 一 步 将 证 明 在 可 计算 模型 中 也 存在 一 个 与 上 文 给 出 的 函数 p 相对 应 的 
函数 。 
定义 函数 psp: String X P(Key)—Pattern, RAE BE, PAIK psp 可 由 以 下 算法 定义 ， 
Let f: tT—Keys be an injective function 
Algorithm psp(e,¢T) 
if e=(b,“block”)output block symbol B corresponding to b; 
if e— (E, "key" )and kEtT then output f(k); 
if e Gom.) "pair"? output CpspGn £T) ,psp(n,tT)) ; 
if e— (c, “ciphertext”) 
if for exactly one key k € tT. D, CO | 
output (pspCD, Co) £T) } jo» 
else output D; 
函数 的 输入 为 一 个 串 e 和 密 钥 值 集合 上 T ,返回 一 个 模式 。 算 法 使 用 一 个 任意 的 命名 函 
数 所 一 旦 确定 将 固定 下 来 ) ,该 函数 对 每 一 个 密 钥 值 关联 一 个 唯一 的 密 钥 名 ,假设 从 分 组 的 
位 串 表 示 中 得 到 其 分 组 符号 。 下 一 个 引 理 表明 “语法 ”函数 p 与 其 相应 的 “计算 ”函数 psp Sc 
质 上 具有 相同 的 行为 。 
引 理 4.7 设 工 是 一 个 无 混淆 的 加 密 方案 ,EEExp,TSKeys 为 一 个 密 钥 符号 集 ,e 为 
根据 分 布 [E ] 选择 的 一 个 位 串 ,r 为 密 钥 赋值 ,那么 存在 可 忽略 函数 "(。) ,使 得 


ke 


REKK Lid 


Pr[psp(e,r(T)) Ž p(E,T)] <| E|| T | vp 
证 明 设 v 为 与 表达 式 E 相关 联 的 可 忽略 函数 ,函数 c:K |> Fr(CK)) 为 单 射 的 密 钥 重 
命名 函数 ,其 中 了 为 psp 算法 中 所 使 用 的 命名 函数 ,将 通过 对 五 的 结构 使 用 归纳 法 来 证 明 
以 下 结果 是 成 立 的 : 
Pr[psplesr(T))#¥ pE, Do] | E|| T | v 
如 果 E=B, i] e—(b.* block"), A CE, T) —b. rp b H B. 的 位 串 描述 ,可 以 得 到 
Pr[pspCe,zCT))z5 p(E,T)o] = 1 — Pr[pspCe.zCT)) = CE. T)o] 
—]1— Pr[b = bo] = 0; 
如 果 存 在 KE Keys 使 得 ESK , M] e—(r CK). "key') . H pCE, T) — K  nJ EAS 8] 
Pr[psple,r(T))#Æ p(E,T)o] = 1 — Pr[ f(c(K)) = Ko] 
—1—Pi[fGIOO) = fGCK)]—0 
如 果 存 在 E, E, € Exp (84 E— CE, ,已 ), 那 么 ec 一 ((a se) pir) JE e; © [E, Jup 
i—0,1, Hi pCE, T)=(p(E T) pE TO BAA FRR: 
Pr[psp(Ce,r(T)) Æ CE, T)o ]x Pr[pspCe, .zCT)) Æ pCE,,T)o or pspCe; .zCT)) 
# pO. T)o] 
< Pr[pspCe ,rt(T)) Æ p(E,,T)o] 


+ Pr pspCei CT) z p(E, T)o] 
由 归纳 假设 可 得 


Pr[Lpsplesr(T))# pE, T)o] <| E, || T | v + E, || T | vC 
=(|E |H E DITI =|IEI|T|v 
R 
如 果 E— (E) IA e— Em Ceo) “ciphertext” ) FE e; [Eo ]i 。 分 两 种 情况 
CD 如 果 KET, W p(E,T)== 口 ,可 以 得 到 


Pr[psp(e'r(T)) = p(E,T)o] = Pr[CV k; € r(T)) Di (Em Ce) — 1.1] 
它 蕴 涵 着 


Pr[psp(e,r(T)) Æ pE, Do] 
= Pr[ (3 k; € «( T) Di, (Eo (e)) ALI 


< DD PID,CGa (eo) <| T | vp) <| EITI vGp 


KERT) 

(2) 如 果 KET. pE T) ={pE T) ,从 而 下 式 成 立 : 
Pr[psple,r(T)) = pE, D)o] 

> Pr[psp(eu,r(T)) = p(E,.T)o and CV k; € (T)\{r(K)}) 
Di Ea C) — 1] 

一 1 一 PrLpsp(eo,r(T)) # BOE,  T)o or 
(3 k; € (DCK) Dr, Gao (eo)) zu 

Z1— (Pr[psp(eo .zCT)) Æ COE, .T)o] 
T Pi[C3 k; € £CDNGOGO D Di, (Eur Ce) ALD 


>1—(Pr[psple +r(T)) # pO D)o] + 28; Pr[ Di, (Exc (eo)) ALI) 


k; Er DNIK) 
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>1—(| E || T| o H T | v 
最 后 一 个 不 等 式 可 由 归纳 假设 以 及 匡 的 无 混淆 性 得 到 。 由 此 立即 可 得 
Pr[psp(e,zCT)) # p(E,T)o] <| E, || T | vp HE T | vp SIE IIT | v 
psp(e,Crecoverable(e) ) 9€ &CE , recoverable E)) 的 概率 可 以 用 以 上 引 理 计 算出 来 ,其 结果 


是 可 忽略 的 。 由 此 可 得 ,给 定 ez [E Joc 可 以 以 不 可 忽略 的 概率 恢复 出 E 的 模式 psp(e， 
Crecoverable(e)) 。 

引 理 4.8 设 工 是 一 个 无 混淆 的 加 密 方案 ,E,E'E Exp 为 两 个 表达 式 , 且 有 pattern CE) 
Fpattern(E’), WMR e 为 从 分 布 [E Jap 中 抽样 的 一 个 位 串 ,r 为 密 钥 赋值 ,那么 存在 可 忽略 
函数 w(。) ,使 得 

Pr[tT < Crecoverable(e) ; pattern(E) 关 psp(e,tT) ] <2 | E | v) (4-15) 
及 
Pr[tT < Crecoverable(e) ; pattern(E’) 2£ psp(e.tT)] >1—2|E l'w (4-16) 
成 立 。 
证 明 首先 ,注意 到 由 式 (4-15) 立 即 可 得 式 (4-16)。 的 确 ,由 pattern E) SÉ pattern E") 
可 得 
Pr[tT < Crecoverable(e) :pattern(E’)  psp(e.tT) ] 
> Pr[pattern(E) = psp(e,tT)] 2 1—2 | E |v 
剩 下 的 就 是 证 明 式 (4-15) 为 真 。 设 v WAG RIAR E 相关 联 的 可 忽略 函数 ,有 
Pr[tT < Crecoverable(e) : pattern(E) = psp(e.tT) J 
> Pr[:T = r(recoverable(E)) A pattern(E) = psp(e.tT) | 
= Pr p(E. recoverable(E)) Z psp(e.tT) | tT = r(recoverable(E)) ] 
* Pr[tT = r(recoverable(E)) ] 
= Pr[_ p(E.recoverable(E))  psp(e+r(recoverable(E) ) ] 
* Pr[Crecoverable(e) = r(recoverable(E)) ] 
分 别 用 引 理 4.7 和 引 理 4. 8 对 上 式 的 两 个 因子 取 其 界 值 , 可 得 
Pr[tT < Crecoverable(e) ; pattern(E) 全 pspCe.tT) ] 
> A-| E [v + A-| E [v > 1-2 | El*vGp 

由 此 可 得 式 (4-15) 。 

定理 4.6 的 证 明 ”对 任意 两 个 表达 式 E,。 和 E, | A pattern(E, ) pattern CE, ) n] VA EB], 
存在 一 个 算法 可 以 不 可 忽略 的 优势 区 分 [ E, Jro MLE Jc 。 定 义 以 下 一 个 区 分 器 Dep IE 
th e HL Eo Jno RIE: Jno 的 一 个 抽样 ,7 为 安全 参数 。 计 算 模 式 psp(e,Crecoverable(e)) ,并 将 
其 与 E, 的 模式 相 比 较 , 这 一 点 可 由 统一 的 算法 在 多 项 式 时 间 内 完成 。 如 果 它 们 在 要 重合 
名 情况 下 是 等 价 的 ,那么 算法 输出 0, 否 则 输出 1。 该 算法 的 区 分 能 力 遵循 引 理 4. 8 的 
式 (4-15) 和 式 (4-16)。 更 确切 地 说 ,算法 A 在 区 分 [ E。] rw 和 [ Es ]acw 时 的 优势 为 


Prle [E> In» :DG.p = 0] — Prle=-[Ey Jac» :DCe,7) = 01 
z0-—2|E, |v) — 2 | E, lvGp —1— XC E, |? HH E Dua 
其 中 ,对 任意 长 度 为 安全 参数 的 多 项 式 的 表达 式 来 说 ,2(|E,| - LE, lo vGp e T8 
略 的 。 
形式 化 方法 通常 处 理 简单 的 ,要么 有 要 么 无 的 安全 断言 ,而 计算 方法 中 用 到 概率 和 计算 
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复杂 性 。 直 觉 上 ,形式 化 断言 在 计算 模型 中 如 果 不 是 绝对 有 效 ,也 应 当 是 在 计算 能 力 有 限 的 
敌手 面前 以 很 高 的 概率 有 效 的 。 本 节 讨 论 了 这 一 直觉 ,并 证 明了 这 一 直觉 在 合理 的 假设 下 
是 正确 的 , 即 AR 逻辑 是 合理 的 。 进 一 步 地 ,研究 了 AR 逻辑 的 完备 性 ,表明 在 一 定 的 安全 
方案 下 它 是 不 完备 的 ,但 如 果 给 所 讨论 的 加 密 方案 附加 一 定 的 条 件 , 则 它 也 是 完备 的 。 


4.6 小 结 


本 章 重点 介绍 了 BAN ERU Kailar Z , Paulson AY a EH RSE" Al Blanchet 的 
自动 验证 系统 ,以 及 形式 化 方法 的 计算 可 靠 性 等 内 容 。 希 望 能 够 通过 这 些 介绍 ,使 读者 掌握 形 
式 化 分 析 和 混合 方法 的 基本 分 析 思 想 和 手段 ,为 读者 进一步 研究 提供 必要 的 基础 。 

混合 方法 即 把 可 证 明 安全 性 和 形式 化 分 析 方 法 结合 起 来 的 方法 是 一 个 发 展 方向 ,本 章 
重点 介绍 了 形式 化 方法 的 计算 可 靠 性 方面 的 研究 成 果 , 主 要 取材 于 文献 [18] 和 文献 [19] 。 

关于 形式 化 理论 与 方法 方面 的 文献 很 多 ,除了 前 面 已 经 提 到 的 文献 外 ,文献 L[31] 一 文献 
[48] 也 是 值得 一 读 的 文献 。 本 章 在 写作 过 程 中 得 到 了 薛 锐 研 究 员 的 大 力 支持 ,他 提供 了 大 
量 的 相关 材料 及 他 自己 的 一 些 认识 ,作者 在 此 表示 衷心 的 感谢 。 
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数学 家 们 通常 把 证 明 写 在 纸 上 来 宣称 他 们 最 新 发 现 的 定理 。 然 而 在 许多 密码 学 意义 上 
的 应 用 场合 中 ,还 需要 向 他 人 证 明 我 们 的 确 知道 某 一 定理 的 证 明 ,但 不 愿意 透露 这 一 证 明 本 
身 。 想 象 以 下 一 个 简单 的 身份 证 明 。 每 个 人 的 身份 对 应 一 个 大 的 合 数 , 当 需 要 展示 自己 身 
份 时 ,向 对 方 证 明 自 己 知道 这 一 合 数 的 素 因子 。 

如 果 直 接 把 素 因子 写 在 纸 上 展 示 给 对 方 ,对 方 立即 可 以 伪装 成 我 们 。 显 然 没有 人 想 这 
么 做 。 在 这 种 情况 下 ,我 们 的 目标 是 : 

(1) 使 对 方 确信 我 们 的 身份 (拥有 与 身份 对 应 的 合 数 的 素 因 子 ) 。 

(2) 在 确认 过 程 中 ,这 些 素 因 子 没有 被 泄露 。 

这 两 个 目标 看 起 来 自 相 矛 盾 ,然而 ,它们 却 由 Goldwasser, Micali 和 Rocko 的 天 才 想 法 
同时 实现 了 。 从 本 质 上 讲 , 他 们 的 想法 源 于 对 什么 是 证 明 这 一 根本 问题 深刻 的 洞察 ,把 证 明 
写 在 纸 上 只 是 证 明 的 一 种 方式 ,也 可 以 通过 “问答 ”这 一 交互 的 方式 来 进行 。 如 果 能 容忍 证 
明 中 一 些微 小 的 错误 , 则 交互 使 得 同时 满足 (1) 和 (2) 成 为 可 能 。 

这 就 是 本 章 要 讨论 的 主题 一 一 零 知 识 证 明理 论 与 方法 。 

零 知 识 证 明 这 一 概念 是 由 Goldwasser EAF 20 世纪 80 年 代 初 提出 的 。 零 知识 证 
明 是 一 种 协议 ,这 种 协议 的 一 方 称 为 证 明 者 , 它 试图 使 被 称 为 验证 者 的 另 一 方 相信 某 个 论断 
是 正确 的 , 却 不 向 验证 者 提供 任何 有 用 的 信息 。Goldwasser 等 人 提出 的 零 知 识 证 明 是 交互 
式 的 ,也 就 是 证 明 者 和 验证 者 之 间 必 须 进行 交互 ,才能 实现 零 知识 性 ,因而 称 为 交互 零 知 识 
证 明 。Blum 等 人 5 于 20 世纪 80 年 代 示 通过 利用 一 个 共同 的 称 为 参考 串 的 短 随机 串 代 
替 交 互 实现 了 零 知 识 证 明 这 一 思想 ,他 们 把 这 种 零 知 识 证 明 称 为 非 交互 零 知 识 证 明 , 这 种 证 
明 是 非 交互 的 . 单 向 的 ,也 就 是 证 明 者 和 验证 者 在 定理 证 明 阶 段 无 需 进行 交互 ,就 能 实现 零 
知识 性 。 非 交互 零 知 识 证 明 比 交互 零 知 识 证 明 的 适用 范围 更 广 ,因此 大 大 地 扩充 了 零 知识 
证 明 思 想 的 应 用 。 

零 知 识 证 明 在 信息 安全 中 处 于 极为 重要 的 基础 性 地 位 。 自 从 它 诞生 以 来 ,特别 是 
Goldreich 等 人 证 明 任 何 NP 语言 都 有 一 个 关于 其 成 员 问 题 的 计算 零 知 识 证 明 以 后 , 零 知 识 
证 明 便 成 了 一 个 重要 而 有 力 的 工具 , 它 为 多 方 安全 计算 这 一 几乎 所 有 密码 学 任务 的 通用 解 
决 方案 提供 了 关键 的 工具 。 另 外 , 零 知识 协议 还 被 广泛 地 应 用 于 大 量 特定 的 安全 协议 的 设 
计 中 ,如 身份 认证 .电子 现金 .电子 投票 、 群 组 签名 等 。 


5.1 交互 零 知识 证 明理 论 与 方法 


在 交互 零 知识 证 明 (Interactive Zero Knowledge Proofs) 的 研究 中 ,目前 人 们 最 关心 的 
基本 模型 有 两 种 : 一 种 是 GMR 模型 1, 在 这 种 模型 中 ,证 明 者 具有 无 限 的 计算 能 力 ,验证 
者 具有 多 项 式 时 间 的 计算 能 力 , 证 明 指 的 是 语言 成 员 问 题 , 即 输 入 了 是 否 是 语言 L 的 一 个 
成 员 。GMR 的 零 知 识 证 明 不 是 真正 的 零 知 识 证 明 ,这 是 因为 在 证 明 中 ,证 明 者 向 验证 者 揭 
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露 了 知识 的 1b, 即 TEL。 但 除 此 之 外 ,再 没有 其 他 任何 附加 的 信息 泄露 给 验证 者 ,通常 称 
这 种 交互 零 知 识 证 明 为 成 员 或 定理 的 零 知识 证 明 (Zero Knowledge Proofs of Membership 
or Theorem) ; 另 一 种 是 FFS 模 型 中 ,在 这 种 模型 中 ,证 明 者 和 验证 者 均 具 有 多 项 式 时 间 的 
计算 能 力 , 证 明 者 的 目的 不 是 向 验证 者 证 明 TEL, 而 是 证 明 他 知道 I 关于 工 的 状况 。FFS 
的 零 知识 证 明 是 真正 的 零 知识 证 明 , 因 为 在 证 明 中 ,验证 者 没有 得 到 任何 信息 ,他 连 TEL 
E dé EL 都 不 知道 ,但 他 相信 这 个 证 明 , 通 常 称 这 种 交互 零 知 识 证 明 为 知识 或 身份 的 零 知 
识 证 明 (Zero Knowledge Proofs of Knowledge or Identity) 。 

下 面 用 一 个 例子 来 说 明 这 两 种 交互 零 知 识 证 明 的 差别 。 例 如 , 若 一 个 数学 家 解决 了 费 
马 大 定理 , 当 他 使 用 GMR 的 零 知识 证 明 时 ,他 不 仅 能 使 验证 者 相信 他 解决 了 这 个 问题 ,而 
且 能 使 验证 者 知道 他 是 证 明了 这 个 问题 还 是 否定 了 这 个 问题 。 当 他 使 用 FFS 的 零 知 识 证 
明 时 ,他 只 能 使 验证 者 相信 他 解决 了 这 个 问题 ,但 验 4 
证 者 并 不 知道 他 证 明了 这 个 问题 还 是 否定 了 这 个 问 
题 。 当 然 , 这 仅仅 是 一 个 例子 , 费 马 大 定理 已 被 证 明 
是 正确 的 。 

为 了 便于 理解 零 知识 ,引用 文献 [7] 中 关于 洞穴 
的 故事 来 解释 这 一 概念 。 这 个 洞穴 如 图 5. 1 所 示 , 里 c|» 
面 有 一 个 秘密 ,知道 咒语 的 那些 人 能 打开 CA D 之 间 
的 秘密 之 门 。 对 其 他 任何 人 来 说 ,这 两 条 路 都 是 死 
胡同 。 

证 明 者 已 知道 这 个 洞穴 的 秘密 ,他 想 让 验证 者 V 相信 这 一 事实 ,但 他 不 想 泄露 咒语 。 
下 面 是 P 怎样 使 相信 的 过 程 : 

CD V 先 站 在 A 点 。 

(2) P 走 进 洞穴 ,到 达 C 点 或 D 点 。 

(3) 在 也 消失 在 洞穴 中 之 后 ,V EF BR. 

(4)V 向 P 了 喊 , 叫 P 了 或 者 从 左 通道 出 来 ,或 者 从 右 通道 出 来 。 

O) 尸 答应 了 ,如 果 有 必要 的 话 他 就 用 咒语 打开 秘密 之 门 。 

(6) P AVEREA) — CD. 

因为 已 没有 办 法 重复 猜 出 V 要 他 从 哪 一 边 出 来 ,所 以 如 果 P 不 知道 这 个 秘密 ,那么 他 


只 能 从 进去 的 一 边 出 来 而 不 能 从 另 一 边 出 来 。 在 每 一 轮 中 P 有 也 的 机 会 猜 中 V 会 叫 他 从 哪 


图 5.1 零 知识 洞穴 


一 边 出 来 ,所 以 有 二 的 机 会 因 弄 V。 在 两 轮 中 了 轧 弄 V 的 机 会 是 十。 而 在 轮 后 P BOE 


VV 的 机 会 是 去 。 当 wn 一 16 MP BF V 的 机 会 只 有 55155。 因 此 ,如 果 所 有 16 次 了 的 证 明 


都 是 对 的 ,那么 V 可 以 相信 了 一 定 知道 开启 C 点 和 D 点 间 门 的 咒语 。 
5.1.1 成 员 的 零 知 识 证 明 
为 了 介绍 成 员 的 零 知识 证 明 这 一 概念 ,首先 必须 引入 一 系列 其 他 概念 。 


1. 成 员 的 交互 证 明 系统 
粗略 地 讲 ,成 员 的 交互 证 明 系 统 中 的 证 明 者 P 和 验证 者 V 可 被 形式 化 为 一 对 交互 的 概 
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率 图 灵机 ,其 中 V. 限定 为 多 项 式 时 间 概 率 图 灵机 ,P 为 计算 能 力 无 限 的 概率 图 灵机 。 证 明 
系统 (P,V) 的 公共 输入 为 某 个 语言 工 (如 那些 所 有 可 以 三 着 色 的 图 的 集合 ) 的 一 个 成 员 z( 如 
一 个 可 以 三 着 色 的 图 ),P 的 目的 是 向 验证 者 V 证 明 zEL( 即 xz 所 代表 的 图 可 以 三 着 色 )。 
证 明 者 和 验证 者 按照 预先 的 指令 交替 地 向 对 方 发 送 消息 来 进行 这 一 证 明 过 程 。 

一 个 交互 图 灵机 (Interactive Turing Machine) 是 一 个 具有 一 条 只 读 输入 带 、 一 条 工作 
带 、 一 条 随机 带 、 一 条 只 读 通 信 带 和 一 条 只 写 通信 带 的 图 灵机 。 随 机 带 上 包含 一 条 无 限 长 的 
随机 比特 序列 , 它 只 能 从 左 到 右 地 读 和 人 。 可 以 说 一 个 交互 图 灵机 掷 一 个 硬币 意 指 它 从 自己 
的 随机 带 上 读 取 下 一 个 比特 。 

一 个 交互 协议 (Interactive Protocol) 是 满足 下 列 两 个 条 件 的 一 对 有 序 图 灵机 (CP,V): 
了 和 YV 共 享 同一 条 输入 带 ;V 的 只 写 通信 带 是 P 的 只 读 通信 带 , 反 之 ,V 的 只 读 通信 带 是 
了 的 只 写 通信 带 。 机 器 已 具有 无 限 的 计算 能 力 ,而 机 器 V 具有 多 项 式 时 间 的 计算 能 力 。 所 
谓 一 个 机 器 具有 多 项 式 时 间 的 计算 能 力 是 指 该 机 器 关于 任何 输入 所 完成 的 全 部 计算 或 操作 
所 需 的 时 间 都 是 它 的 输入 长 度 的 一 个 多 项 式 。 一 个 交互 协议 如 图 5. 2 所 示 , 它 的 工作 原理 
是 ,V 首先 开始 工作 ,然后 两 台 机 器 轮流 工作 。 在 机 器 或 V 的 工作 阶段 ,P 或 V 首先 使 用 
公共 输入 带 和 它 的 工作 带 、 通 信 带 、 随 机 带 上 的 内 容 完成 某 种 内 部 计算 ;其 次 ,P 或 V EE 
的 只 写 通 信 带 上 为 V RPT. PRV 的 第 i 条 消息 是 P 或 V 在 它 的 第 i 个 工作 阶 
段 写 在 它 的 通信 带 上 的 全 部 串 。 一 旦 机 器 或 V 写 了 它 的 消息 , 它 就 不 工作 ,而 机 器 V 或 
P 开始 工作 (除非 协议 被 终止 )。 无 论 哪 一 台 机 器 都 能 通过 在 一 个 工作 阶段 不 发 送 任 何 消息 
来 终止 协议 的 计算 。 机 器 V 通过 输出 接收 (或 拒绝 ) 和 终止 协议 来 接收 (或 拒绝 ) 公 共 输 入 。 
机 器 V 的 计算 时 间 是 指 V 在 各 个 工作 阶段 的 计算 时 间 的 总 和 ,这 个 时 间 是 多 项 式 的 。 


Bit 公共 输入 带 随机 带 
EN R R R 
X 六 
工作 带 a Vee)” 工作 带 
通信 带 


图 5.2 一 个 交互 协议 
图 中 ,“，" 表 示 一 个 读 、 写 头 ,“<-R-" 表 示 一 个 只 读 头 ,“-W 一 ”表示 一 个 只 写 头 。 


通常 所 说 的 “语言 ?是 指 一 个 集合 志 。 因 为 通常 集合 工 中 的 每 个 元 素 z 都 可 编码 成 一 个 
0,1 有 限 长 串 , 该 串 的 长 度 称 为 z 的 长 度 , 记 为 |z|l ,所 以 可 以 抽象 地 将 工 视 作 集合 {0. 1)7 
的 一 个 子 集 。 这 里 {0.1)* 表示 所 有 有 限 长 的 0、1 串 构成 的 集合 。 

WELC(0.1)* 是 一 个 语言 ,(P,V) 是 一 个 交互 协议 。 我 们 说 C(P,V) 对 工 是 一 个 成 员 的 
交互 证 明 系 统 (Interactive Proof System of Membership) ,如 果 它 满足 下 列 两 个 条 件 : 

(1) 完全 性 (Completeness) : 对 每 一 个 k>0 和 充分 长 的 zxE 工 ,将 工作 为 (P,V) 的 输 
入 ,V 终止 协议 并 至 少 以 1 一 |z| 一 的 概率 接收 z。 这 里 的 概率 是 相对 于 协议 (P,V) 所 有 可 
能 的 挪 硬币 而 言 的 。 
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(2) 合理 性 (Soundness) : 对 每 一 个 大 之 0 和 充分 长 的 z& 工 ,对 任意 的 交互 图 灵机 P, 
将 工作 为 (P',V) 的 输入 ,V 至 多 以 |z|“* 的 概率 接收 z。 这 里 的 概率 是 相对 于 协议 (P',V) 
所 有 可 能 的 搓 硬 币 而 言 的 。 


E 在 上 述 定义 中 ,误差 奈 |z|- 可 以 减弱 为 菜 常 数 0<<e<< 记 ,也 可 加 强 为 2- ,这 3 


种 误差 率 的 交互 证 明 系 统 是 等 价 的 中。 通常 将 上 述 合理 性 定义 中 的 概率 
Pr[(P',V) (xz) 二 接受 ] 称 为 合理 性 错误 。 

条 件 (1) 本 质 上 是 说 ,如 果 xzEL,P 能 以 很 大 的 概率 说 服 V 接收 z。 条 件 (2) 是 说 ,如 果 
CEL FH P' 采 取 何 种 欺骗 策略 ,P' 说 服 V 接收 z 的 概率 很 小 。 事 实 上 ,V 无 须 相 信和 正在 
与 它 进行 交互 的 机 器 是 否 诚实 ,只 要 相信 它 自 己 掷 硬币 的 随机 性 就 足够 了 。 条 件 (2) 也 表 
Hj ,交互 证 明 系统 的 定义 依赖 于 V, 而 根本 不 依赖 于 P。 在 一 个 交互 证 明 系 统 (P,V) 中 , 通 
W P 称 为 证 明 者 ,V 称 为 验证 者 。 

设 (P,V) 为 一 对 交互 图 灵机 。 记 (P(w),V(z))(zx) 为 图 灵机 V 在 停止 交互 后 的 输出 ， 
Ka PMV 的 公共 输入 ,w 和 x 分别 是 P 的 私有 输入 和 V 的 辅助 输入 。 有 时 为 了 方 
便 ,会 忽略 PP 或 V 的 私有 输入 ,把 (P(w),V(z))(z) 记 作 (P(w),V)(z) 或 (P,V)(z)。 注 意 
A) P Al V 一 般 都 是 概率 图 灵机 (在 交互 过 程 中 都 将 使 用 自己 的 随机 带 ), 可 以 把 (P(w)， 
V(z))(z) 看 成 一 个 随机 变量 。 

下 面 将 对 二 次 剩余 (Quadratic Residues) 问 题 描述 一 个 成 员 的 交互 证 明 系统 。 所 谓 二 
次 剩余 问题 是 指 给 定 nE NON 是 全 体 自 然 数 之 集 ) 和 y€ Z; = (yE Z, | gcd(y.n) =1} ,确定 
y 是 否 是 一 个 模 n 的 二 次 剩余 。 记 为 

QR — (Gu) |n € Noy E Z; oy En 的 一 个 二 次 剩余 } 


QNR = (msy) |n € Noy € Zi o REM n 的 一 个 二 次 剩余 ,但 ( 立 一 1) | 


其 中 ( 立 ) 表 示 y 模 fif Jacobi 符号 ,n 和 y 以 二 进 制 的 形式 给 出 。 通 常 将 QR 称 为 二 次 和 


余 语言 ,QNR 称 为 二 次 非 剩 余 (Quadratic Non-residues) 语 言 。 下 面 就 对 二 次 非 剩余 语言 
QNR 来 描述 一 个 成 员 的 交互 证 明 系 统 。 
设 (P,V) 是 一 个 交互 协议 ,(n,y) 是 它们 的 公共 输入 ,m 二 |n| ,其 中 |n| 表 示 n 的 二 进 制 


表示 的 长 度 。V RAL nl ye Z , (之 ) 一 1, 如 果 不 是 则 停机 ,否则 ,P 和 V 重 复 执行 


FIER Mm X. 

CD V 从 它 的 随机 带 上 读 出 一 个 整数 i 二 0 或 1( 将 该 整数 称 为 挑战 (Challenge) ) 和 一 个 
整数 rE2; BI V 随机 地 选择 一 个 整数 i 二 0 或 1 和 一 个 整数 rE 2Z; ,计算 w= yr^ mod n. 
并 将 ww 写 在 它 的 只 写 通信 带 上 ,即将 w 发送 给 P。 

(2) P WER B BOB A H EH w, BI P JA V 处 收 到 ww 后 , 它 验 证 是 否 (n,w) E QR, 如 
Ow) € QR MBA P 3E Xj —0. 8 WE Xj —1. KEK) 写 在 只 写 通 信 带 上 ,即将 
j 发 送 给 (通常 将 7 称 为 对 挑战 的 响应 (Response) ) 。 

(3) V 验证 是 否 ; 一 7。 

如 果 在 m 轮 中 的 每 一 轮 都 有 i 二 j ,那么 V 接收 P 的 证 明 , 即 认为 (x,y) EQNR。 

上 述 交 互 协 议 是 一 个 交互 证 明 系 统 。 这 是 因为 ,如 果 (n,y)E€ QNR.d P AV 的 执行 过 
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程 可 知 ,在 每 一 轮 中 都 有 ;一 ),V 以 概率 1 接收 P WEH BAAN. MRC WE 
QNR, 则 可 假定 (n,y)€ QR, 这 是 因为 其 他 情况 由 V 在 开始 时 的 检查 可 被 排除 或 拒绝 。 此 
时 无 论 ;一 0 还 是 ;一 1,z 都 是 模 n 的 二 次 剩余 ,P 无 法 确定 是 7 一 0 还 是 7 一 1, 它 猜 中 的 概 


KHL RA m 轮 中 的 每 一 轮 中 的 j 都 猜 中 时 ,V 才 接 收 ,这 种 做 法 成 功 的 概率 只 有 


去 。 因 此 , 当 (n,y) € QNR 时 ,V 接收 P' 的 证 明 的 概率 不 超过 去 , 即 该 协议 是 合理 的 。 
再 来 看 一 下 V 的 计算 时 间 。 数 论 知 识 说 明 ,对 任意 给 定 的 wnE N Aly € ,利用 欧 几 里 
德 算法 可 在 |n| 的 多 项 式 时 间 内 计算 出 是 否 yE Zz ,而 且 (之 ) 也 可 在 |n| 的 多 项 式 时 间 内 计 


算出 。 而 在 V 的 每 一 轮 中 ,V TEE w — yr’ mod n 和 验证 i 二 j 的 时 间 都 是 多 项 式 的 , 故 
V 的 计算 时 间 是 多 项 式 的 。 

2. 随机 变量 的 不 可 区 分 性 和 可 通 近 性 

d LC(0,1)* ,U — (Uc; her fll V = (Vc, }ser 是 两 族 随机 变量 ,所 有 随机 变量 都 在 
{0,1)" 中 取 值 。 我 们 想 表 达 这 样 一 个 事实 : 随 着 z 的 长 度 的 增加 ,Uco 本 质 上 可 由 Vin K 
“取代 ”。 现 在 考虑 下 述 框 架 。 

SKU cay REMA V coy 中 抽取 出 一 批 随机 样本 并 将 这 些 随机 样本 交 给 一 个 判决 者 。 判 决 者 
在 研究 这 些 样本 之 后 ,他 将 作出 判决 。 如 果 样 本 来 自 Uo , 则 判定 为 0, 如 果 样 本 来 自 Vco ， 
则 判定 为 1。 如 果 随 着 zx 的 长 度 的 增加 ,任何 判决 者 都 无 法 作出 判决 ,或 者 只 能 与 Uc 和 
Vw 无 关 地 胡乱 随意 地 判决 ,那么 就 说 Uo 本质 上 可 由 Vs 来 取代”, 或 者 说 Uc 和 Vw 不 
可 区 分 。 在 这 个 框架 中 有 两 个 相关 参数 值得 考虑 , 即 样本 的 数目 和 判决 者 作出 判决 所 需 的 
时 间 。 通 过 对 这 两 个 参数 做 不 同 的 限制 就 会 得 到 不 同 的 随机 变量 不 可 区 分 的 概念 ,目前 最 
关心 的 不 可 区 分 的 概念 有 3 个 , 即 相 等 (Equality)、 统计 不 可 区 分 (Statistical 
Indistinguishability) 和 计算 不 可 区 分 (Computational Indistinguishablity)。 下 面 分 别 来 介 
绍 这 3 个 概念 。 

我 们 说 两 族 随 机 变量 {Uw beer (Vin )zer 在 语言 L 上 是 相等 的 ,如 果 对 每 个 充分 长 的 
XEL,Uw 和 Vow 的 概率 分 布 相等 , 即 对 每 个 a€ {0. 1) ,P(Uw 50) = PWV cy 一 0)。 这 时 也 
FR (Uco beer MV co )zer 完 美 不 可 区 分 (Perfect Indistinguishability)。 也 就 是 说 ,这 两 个 带 参 数 
Zz 的 随机 变量 族 ,对 充分 长 的 ZEL 是 相等 的 。 

由 定义 可 以 看 出 ,如果 两 族 随 机 变量 {Uco been 和 {Vw } :er 在 语言 并 上 是 相等 的 ,那么 
对 充分 长 的 xEL ,判决 者 即使 具有 无 限 的 计算 能 力 和 拥有 无 穷 多 的 样本 也 无 法 判定 这 些 样 
AKA Uc BERK Vo. 

我 们 说 两 族 随 机 变量 {Uc jeer AU Vin )zet 在 语言 L 上 是 统计 不 可 区 分 的 ,如 果 对 任意 常 
数 c>0 和 每 个 充分 长 的 zxEL, 都 有 S | PU = 四 一 Pa = 四 | 一 | 工 王 。 


a€ (0.1)* 
由 定义 可 以 看 出 ,如 果 两 族 随机 变量 {Uc ) -ez 和 {Veo hea EARL 上 是 统计 不 可 区 分 
的 ,那么 对 充分 长 的 <E 工 ,对 拥有 多 项 式 个 样本 和 具有 无 限 计算 能 力 的 判决 者 ,他 也 基本 上 
无 法 判定 这 些 样 本 来 自 Uo 还 是 Veo 。 
例 5.1 设 Uco 对 所 有 长 度 为 |z| 的 串 赋予 相同 的 概率 2 ,Vco 对 除了 全 0 和 全 1 的 
长 度 为 |z| 的 串 赋 予 相同 的 概率 2777 ,对 长 度 为 |z| 的 全 0 串 和 全 1 串 分 别 赋予 概率 0 和 
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27H MUo beer RI CV S } ez 是 语言 工 一 {0.1} 上 统计 不 可 区 分 的 两 族 随 机 变量 。 

上 面 在 给 出 完美 不 可 区 分 和 统计 不 可 区 分 的 定义 时 ,实际 上 将 判决 者 视 作 一 个 概率 图 
灵机 , 即 带 有 一 条 随机 带 的 图 灵机 。 按 上 述 两 个 定义 ,在 定义 计算 不 可 区 分 性 时 ,可 以 将 判 
决 者 视 作 一 个 多 项 式 时 间 的 概率 图 灵机 来 给 出 相应 的 定义 。 但 这 里 将 判决 者 视 作 一 个 多 项 
式 规模 的 电路 族 ,这 是 因为 通常 认为 这 种 电路 族 是 一 种 可 能 比 多 项 式 时 间 的 概率 图 灵机 接 
收 能 力 更 强 的 计算 装置 ,详细 理由 可 参阅 文献 [2]。 

设 C 二 {C,)seL 是 一 族 布 尔 电路 ,C, 是 输出 仅 为 0 或 1 的 布尔 电路 ,C; 的 输入 是 以 为 
参数 的 随机 变量 , 即 C. 的 输入 是 按 参数 zx 确定 的 随机 变量 分 布 的 随机 串 。 如 果 存 在 一 个 
常数 e>0, 使 得 对 所 有 的 布尔 电路 C EC BAA | xls 个 门 ( 门 包括 与 门 、 或 门 . 非 门 等 ), 则 
称 C 为 多 项 式 规模 的 电路 族 。 

为 了 把 来 自 某 一 概率 分 布 的 样本 输入 多 项 式 规模 的 电路 ,将 只 考虑 多 项 式 界 随机 变量 
族 。 所谓 U= {Uc } ez 是 一 个 多 项 式 界 随机 变量 族 , 意 指 存在 一 个 常数 40, 使 得 对 所 有 的 
随机 变量 Uc CU 只 对 长 度 不 超过 |z1” 的 串 分 配 正 概率 。 

设 U 一 {Uc ) e, fll V— (V o )xez 是 两 个 多 项 式 界 随机 变量 族 ,C 一 {C.)vez* 是 多 项 式 规 
模 的 电路 族 ,用 P(U,C,z) 表 示 按 Uo 分 布 的 随机 串 作 为 输入 ,C. 输出 1 的 概率 。 称 
U 和 V 在 语言 L 上 是 计算 不 可 区 分 的 ,如 果 对 任意 常数 070 和 每 个 充分 长 的 <E 工 ,都 有 
|P(U,C,2) - P(V,C,x) | X 0Exl*. 

由 定义 易 知 ,对 于 两 个 随机 变量 族 U = (Uco re RI V — (Vos bre ,如 果 它 们 在 语言 L 上 
是 完美 不 可 区 分 的 ,那么 它们 在 语言 L 上 必定 是 统计 不 可 区 分 的 。 现 在 来 说 明 , 对 于 两 个 
多 项 式 界 随机 变量 族 U = (Uc) e MVS Voo )zer ,如果 它 们 在 语言 L 上 是 统计 不 可 区 分 
的 ,那么 它们 在 语言 L 上 必定 是 计算 不 可 区 分 的 。 

BEC, 是 一 个 电路 ,S. 是 使 得 C, 的 输出 为 1 的 输入 集 。 因 为 U 和 V 是 统计 不 可 区 分 的 ， 
所 以 对 任意 常数 c>0 和 每 个 充分 长 的 xEL, 都 有 >) [PU =a) —PVin =a) |< 21 


e€(0.1)* 


而 | PUo € S)-PVo € S) |= [|XPtUo =- XP(o -2|« 
a€ S, ES, 


D | PUo = 四 一 PIVo =a I< X | PU =a) —PVin =a) | AIPU» E 
a€ S, «€ (0.1) * 


S,))—P(V € S)|«|x| *. X P(U,C,32 =P Uy € S2, PVC, 3) = PCV o5 € S,), 所 以 
| PQU,C,3) — PC,C,a) | || * CU AV 在 语言 L 上 是 计算 不 可 区 分 的 。 

现在 来 定义 随机 变量 的 可 逼近 性 (Approximability)。 设 M 是 一 个 关于 输入 z 以 概率 1 
停机 的 概率 图 灵机 ,用 M(Cz) 来 表示 一 个 随机 变量 ,该 随机 变量 的 概率 分 布 为 : 对 每 一 个 串 
oaPCOM(Cz)= 一 oa 一 如 COM 关 于 输入 z 输出 a), 即 POM Go) =a) 5E ON M 关于 输入 zx 输出 a 的 
概率 。 

WELC(0,1)* ,U 二 {U(xz)):er 是 一 族 随 机 变量 , 称 U 在 语言 L 上 是 完美 (统计 、 计 算 ) 
可 逼近 的 ,如 果 存 在 一 个 多 项 式 时 间 的 概率 图 灵机 M, 使 得 {M(z)})ser M {Uco bre Æ 
工 上 是 完美 (统计 、 计 算 ) 不 可 区 分 的 。 

由 定义 可 知 ,随机 变量 的 可 逼近 性 和 随机 变量 的 不 可 区 分 性 密切 相关 ,每 一 种 不 可 区 分 
YES —fhupidgrtk. WnRU TEL 上 是 完美 逼 近 的 ,那么 U 在 L 上 必 是 计算 可 逼近 的 。 
当然 在 谈论 随机 变量 的 计算 不 可 区 分 性 和 计算 可 逼近 性 时 ,是 指 多 项 式 界 随机 变量 的 计算 
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不 可 区 分 性 和 计算 可 逼近 性 。 

3. 成 员 的 零 知识 证 明 

非 正式 地 讲 , 一 个 成 员 的 交互 证 明 系统 (P,V) 是 由 P 和 V 两 方 所 执行 的 一 个 协议 。 
己 试图 通过 执行 协议 ,说 服 验证 者 V 相信 某 个 定理 (如 zxEL) 是 正确 的 。 如 果 了 为 假 (如 
zEL), 则 即使 P 不 遵循 协议 ,采取 任何 欺骗 策略 ,也 无 法 说 服 V 相信 T 为 真 ,但 在 一 个 成 
员 的 交互 证 明 系 统 中 ,如 果 一 个 有 欺骗 行为 的 验证 者 V' 不 遵循 协议 ,他 试图 从 P 那里 得 到 
除了 了 为 真 以 外 的 其 他 信息 , 即 V' 通 过 协议 可 能 获得 了 他 不 应 得 到 的 知识 。 现 在 来 考虑 即 
使 V' 不 遵循 协议 ,采取 任何 欺骗 策略 ,也 无 法 从 已 那里 得 到 除了 为 真 以 外 的 任何 其 他 信 
息 的 交互 协议 和 交互 证 明 系统 。 

首先 描述 一 个 欺骗 验证 者 (Cheating Verifier) V’ , 它 预 先 拥有 某 些 额 外 信息 且 不 遵循 
协议 。 

设 (P,V) 是 一 个 交互 协议 ,V' 是 一 个 带 有 一 条 额外 输入 带 的 交互 图 灵机 。 当 公共 输入 
为 工时 ,V BUS ACH Cr HO. H J& V B9 38 9 58 A E H 的 长 度 不 超过 |z| 的 多 项 式 。 当 
VSP 交互 时 ,P 只 看 到 它 的 输入 带 上 的 xz, 而 V' 看 到 的 是 (zx, 昌 ) ,此 时 假定 V' 的 所 有 计算 
时 间 不 超过 |z| 的 多 项 式 。 互 的 一 个 最 好 的 解释 是 把 它 解释 为 欺骗 验证 者 V' 已 经 拥有 的 关 
于 z 的 一 些 知识 或 欺骗 验证 者 在 执行 协议 (P,V“) 之 前 极力 使 用 从 P. 得 到 的 知识 执行 其 他 
协议 所 获得 的 交互 历史 。 

对 关于 公共 输入 为 zx 和 额外 输入 为 互 的 一 段 协议 ,定义 V AY WE View) JV HB AY 
一 切 事情 。 设 c 和 p 分 别 是 包含 在 P 和 的 随机 带 中 的 两 个 串 ,不 妨 设 P 和 关于 这 些 随 
机 选择 的 计算 由 轮 构 成 ,并 且 V' 首 先 开始 工作 ,这 里 a; ALD, 分 别 是 P 和 V 的 第 i 个 消 
息 。 那 么 就 说 (oo sai ,… ,bwa,) 是 V' 关 于 输入 (zx, 晶 ) 的 观察 。 设 Viewp,v (zx, 日 ) 是 一 个 
随机 变量 ,其 值 是 这 个 观察 。 为 方便 起 见 , 把 每 个 观察 视 作 来 自 {0. 1) 的 长 度 不 超过 |z| 的 
多 项 式 的 一 个 串 。 注 意 , 可 以 把 六 的 工作 带 中 的 内 容 包 括 在 Viewrv (2. HO rh dun] DAE 
BRIE Viewp,y (zx, 晶 ) 之 外 ,这 都 无 本 质 差 别 ,因为 它们 都 能 在 多 项 式 时 间 内 从 mH psa, 
az, ,an 求 得 。 

一 个 交互 副本 (Transcript) 包 括 公 共 输 入 x, P 和 V' 在 一 次 协议 的 执行 过 程 中 产生 的 
所 有 消息 。 验 证 者 V' 在 停止 交互 后 的 输出 可 以 有 两 种 不 同 的 形式 : 仅 输 出 “接受 ”( 有 时 
用 “1” 表 示 ) 或 “拒绝 ”( 有 时 用 “0” 表 示 ); @ 输 出 它 的 观察 。 事实 上 ,对 于 定义 零 知 识 性 而 
言 ,这 两 种 形式 是 等 价 的 。 我 们 称 一 个 副本 是 可 接受 的 ,是 指 验 证 者 接受 了 这 个 副本 中 每 一 
个 来 自 证 明 者 的 消息 。 在 某 些 上 下 文 已 交代 清楚 的 情况 下 ,为 简单 起 见 ,也 直接 把 PP 和 V 
在 协议 的 一 次 执行 中 产生 的 所 有 消息 称 为 副本 ,而 忽略 了 公共 输入 xz。 应 特别 注意 的 是 , 任 
何 副本 都 是 针对 于 某 个 特定 公共 输入 的 副本 。 

设 LC{0,1}* 是 一 个 语言 ,(P,V) 是 一 个 交互 协议 ,V' 是 以 上 所 描述 的 欺骗 验证 者 。 称 
(P,V) 对 V' 关 于 语言 L 是 完美 (统计 .计算 ) 零 知识 的 ,如 果 随 机 变量 族 Viewr,v = 
{Viewpv Gc  H)) cer RF A L'— (Gr. H) |z€ L| H | RBM | c | HARK) BERG 
计 、 计 算 ) 可 逼近 的 。 我 们 说 (P,V) 关 于 语言 工 是 完美 (统计 .计算 ) 零 知识 的 ,如 果 它 是 对 
所 有 的 多 项 式 时 间 的 概率 交互 图 灵机 关于 语言 是 完美 (统计 、 计 算 ) 零 知识 的 。 

由 定义 可 知 , 如 果 (P,V) 关 于 语言 工 是 完美 (统计 、 计 算 ) 零 知识 的 ,那么 所 有 的 多 项 式 
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时 间 的 概率 交互 图 灵机 ,无 论 采 用 何 种 欺骗 措施 ,都 无 法 通过 和 P 交互 抽取 关于 工 的 成 员 
的 一 些 附 加 信息 。 这 表明 该 定义 只 依赖 于 了 ,而 根本 不 依赖 于 V。 

零 知识 的 定义 中 考虑 了 两 种 概率 分 布 : 一 种 是 由 一 个 概率 多 项 式 时 间 验 证 者 V' 在 
与 证 明 者 P 交互 之 后 产生 的 概率 分 布 ; @ 另 一 种 是 由 一 个 概率 多 项 式 时 间 机 器 M 关 于 输 
入 产生 的 概率 分 布 ,M 没有 和 任何 证 明 者 交互 。 零 知识 意味 着 对 每 个 类 型 的 分 布 存 在 一 
个 类 型 @ 的 分 布 ,使 得 这 两 个 分 布 是 “本 质 上 相等 的 ”。 直 观 地 说 , 零 知 识 意 味 着 V P 
互 所 得 到 的 信息 是 V 单独 也 能 得 到 的 。 有 时 将 四 中 的 M 称 为 伪造 算法 (Forging 
Algorithm) 或 模拟 器 (Simulator) 。 

下 面 就 来 定义 成 员 的 零 知 识 证 明 系统 这 一 概念 。 

WE LC(0.1)* 是 一 个 语言 ,AP,V) 是 一 个 交互 协议 ,我 们 说 (P,V) 对 语言 L 是 一 个 成 员 
的 完美 (统计 、 计 算 ) 零 知识 证 明 系 统 , 如 果 它 对 工 是 一 个 成 员 的 交互 证 明 系 统 并 且 关 于 
L 是 一 个 完美 (统计 、 计 算 ) 零 知识 协议 。 

由 定义 易 知 ,如 果 (P,V) 对 语言 工 是 一 个 成 员 的 完美 零 知识 证 明 系 统 , 那 么 (P,V) 对 语 
言 工 一 定 是 一 个 成 员 的 统计 零 知 识 证 明 系 统 。 如 果 (P,V) 对 语言 工 是 一 个 成 员 的 统计 零 
知识 证 明 系 统 , 那 么 (P,V) 对 语言 工 一定 是 一 个 成 员 的 计算 零 知识 证 明 系 统 。 

通常 将 计算 零 知 识 证 明 系 统称 为 零 知 识 证 明 系统 ,简称 零 知 识 证 明 。 

如 果 (P,V) 对 工 是 一 个 成 员 的 零 知 识 证 明 系 统 ,那么 所 有 的 概率 多 项 式 时 间 交 互 图 灵 
机 ,无 论 采 用 何 种 欺骗 措施 ,都 不 可 能 通过 和 PP 交互 抽取 除了 zxEL 之 外 的 别 的 信息 。 

前 面 已 对 二 次 非 剩 余 语言 QNR 描述 了 一 个 成 员 的 交互 证 明 系 统 ,现在 来 考察 一 下 该 
系统 的 零 知 识 性 。 

假定 有 一 个 知道 P 和 的 公共 输入 z= (ney) € QNR 的 第 三 方 C,C 随机 地 选择 
FEZ; 和 i € {0.1} ,并 计算 =y F’ mod n。C 将 名 给 V, 但 V 并 不 知道 名 是否 是 一 个 二 
次 剩余 。V 在 第 (2) 步 将 名 发 送 给 P,P 在 第 (3) 步 对 V. 作出 回答 。 这 样 V 就 借助 P fibus 
回答 他 事先 不 知道 的 并 且 有 可 能 不 能 解决 的 问题 。 直 观 上 看 ,该 系统 不 是 零 知 识 的 。 这 里 
不 再 作 详细 讨论 ,文献 [2] 中 证 明了 该 系统 是 统计 零 知 识 证 明 系统 。 

本 节 最 后 对 二 次 剩余 语言 QR 描述 一 个 成 员 的 零 知识 证 明 系 统 。 

设 (P,V) 是 一 个 交互 协议 ,(n,y) 是 它们 的 公共 输入 ,m 二 1n|, 其 中 |n| 表 示 n 的 二 进 制 
表示 的 长 度 。V 检查 是 否 z 二 1,yEZ; ,如 果 不 是 则 停机 ,否则 ,P 和 V 重复 执行 下 列 步 又 
mK. 

(1) P 从 它 的 随机 带 上 读 出 一 个 整数 rE€ 2Z; BI P 随机 地 选择 一 个 整数 rE 2; ,计算 
w=r mod n, 并 将 w 写 在 它 的 只 写 通信 带 上 ,即将 w 发 送 给 V。 

(2) V 从 它 的 随机 带 上 读 出 一 个 整数 i 二 0 或 1, 即 V 随机 地 选择 一 个 整数 i 二 0 或 1, 并 
将 i 写 在 它 的 只 写 通 信 带 上 ,即将 i 发送 给 P。 

(3) P 从 它 的 只 读 通 信 带 上 读 出 i, 即 PP 从 V 处 收 到 i 后 , 它 计 算 Z— wr mod n, 这 里 
u J& y 的 一 个 平方 根 , 即 > 一 zx mod n, 并 将 Z 写 在 它 的 只 写 通信 带 上 ,即将 2 发 送 给 V。 

(4) V A'E RJ ARM HELEN Z, HD V J P 处 收 到 2Z 后, 它 验 证 是 否 
Z=y'w mod n MRE m 中 的 每 一 轮 都 有 2 三 yw mod n, 那 么 V 接收 P 的 证 明 , 即 认为 
(n,y)E QR。 类 似 于 QNR 的 情形 ,容易 说 明 V 的 所 有 计算 时 间 都 不 超过 |n| 的 多 项 式 。 

下 面 就 来 说 明 上 述 系 统 对 语言 QR 是 一 个 成 员 的 完美 零 知 识 证 明 系 统 。 
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(1) 完全 性 : 如 果 (n,y) E QR, h PA V 的 执行 过 程 知 ,在 每 一 轮 中 都 有 
Z — yw mod n, 所 以 V 以 概率 1 接收 P 的 证 明 。 

(2) 合理 性 : 如 果 (n,y) € QR, 则 可 假定 n1. y€ 2Z; «y 不 是 模 的 一 个 二 次 剩余 ,这 
是 因为 其 他 情况 由 V 在 开始 时 的 检查 可 被 排除 或 拒绝 。 在 每 一 轮 中 ,V 从 P' 处 收 到 的 w 不 
可 能 使 w 和 yw WAR n 的 平方 根 。 因 为 已 事先 没有 看 到 V. 随机 选择 的 口令 i, 他 只 好 去 


猜 , 猜 中 的 概率 为 去 ,所 以 在 每 一 轮 中 ,V 接收 P' 的 证 明 的 概率 为 说, 这 样 只 有 当 PH m 轮 
中 的 每 一 轮 中 都 能 正确 地 猿 中 口令 i 时 ,V 才 接收 P 的 证 明 , 这 种 做 法 成 功 的 概率 只 有 去 ， 


因此 六 至 多 以 概率 区 接收 Pl 


上 述 两 个 性 质 表 明 ,协议 (P,V) 对 QR 是 一 个 成 员 的 交互 证 明 系 统 。 下 面 我 们 来 说 明 
该 协议 是 (完美 ) 零 知识 的 。 

(完美 ) 零 知识 性 : 设 V EAM P 交互 的 任 一 个 多 项 式 时 间 交 互 图 灵机 ,(z,y)EQR 是 
(P,V') 的 公共 输入 ,mm 二 |n|,|n| 表 示 n BY HE Hl Be BAR RE, H Æ V BE AA 也 可 
能 是 一 个 空 串 ,V' 关 于 输入 ((n,y) ,日 ) 的 观察 值 为 (Gv sii ZO s Cw sia ZO tmu sin s Zn)) > 
Hp wsi ZD (oj ft WRF f A CO y), DER j 轮 的 观察 值 ,w; 是 P 随机 选择 
的 一 个 模 n 的 二 次 剩余 ,i; 是 V' 随 机 选择 的 一 个 整数 (0 或 1),Z E PRAA VA yw; 模 
n 的 一 个 平方 根 。 设 Viewp,v (Cn, y), H) — CC sii Zi s (we sizs Z2 5s Wm sim Znm)) 是 一 
个 随机 变量 ,其 值 是 V EFA (On y), HO AE. V 可 能 遵循 协议 ,也 可 能 不 遵循 
协议 。 

为 了 证 明 上 述 交 互 证 明 系 统 是 完美 零 知 识 的 , 需 对 每 一 个 V'( 诚 实 的 或 不 诚实 的 验证 
者 ) ,构造 出 一 个 相应 的 概率 多 项 式 时 间 图 灵机 My ,使 得 My Cn, y), H) = Viewp,v COn y), 
HD. My Sri P 的 角色 ,并 将 V' 用 作 一 个 可 重新 启动 的 子 程序 。Mv 极 力 猜测 V' 将 在 第 
j 轮 中 选择 的 i;。 也 就 是 说 ,在 第 j 轮 中 Mv 首先 产生 一 个 形式 为 (wj ,i ,2;) 的 随机 的 三 元 
组 ,其 中 Zi yw; mod n, 然 后 运行 机 器 V' ,看 V' 选择 的 口令 i。 如 果 My 的 猜测 i AV’ 
产生 的 者 相 等 ,那么 将 (wj ,i ,2;) 级 联 到 伪造 的 观察 之 后 。 否 则 ,将 这 个 三 元 组 删 掉 ,Mv 猜 
测 一 个 新 的 口令 i 并 将 V' 的 状态 调 回 原状 态 重新 启动 V'。 这 里 的 “状态 ”是 指 由 机 器 使 用 
的 所 有 变量 的 值 。 比 方 说 , 令 Vj 三 (Cw si sZ); Qus sis Zp) sns Qui) Z0 FE-PE 
量 , 在 V' 执 行 第 j 十 1 轮 时 ,V; 已 取 定 一 个 值 w ,将 o; 称 为 V 在 执行 j 十 1 轮 时 的 一 个 状态 ， 
简称 状态 , 记 为 SV). WE S (Vo mm. 

对 V', 现 在 来 详细 描述 一 个 多 项 式 时 间 的 概率 图 灵机 My ,My 的 输入 为 (n,y)E QR 和 
串 。 用 全 表示 由 Mv 伪造 的 观察 , 置 T 一 空 串 。Mv 对 7 一 1 Bl m 执行 下 列 步 又。 

(1) S -CVD 一 T。 

(2) My 从 它 的 随机 带 上 读 出 一 个 整数 i 二 0 或 1 和 一 个 整数 ZEZ; , 即 My 随机 选择 
—^ 838 i; —0 或 1 和 一 个 整数 2Z;€ 2; ,并 计算 ww 一 2Z}y mod n, 

(3) 调用 VV 的 第 j 轮 ,V 的 前 j 一 1 轮 的 观察 已 由 (1) 中 赋值 。 给 V' 输 入 w; ,获得 一 个 
HK i WR i= 7) WA Cw, ,i;,2;) 级 联 到 了 的 尾部 ,否则 Mv 返回 步骤 (2), 直 到 i 二 
iib. 
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首先 来 看 一 下 Mv 的 计算 时 间 。Mv 随机 选择 ZE Z; 的 方法 如 下 : My 首先 随机 选择 
一 个 长 度 为 m 的 比特 串 ,检测 看 它 是 否 属于 2Z; ,检测 Z 是 否 属于 2Z; 可 在 m 王 |n| 的 多 项 式 
时 间 内 完成 ,如 果 不 是 ,Mv 随机 选择 一 个 长 度 为 m 一 1 的 比特 串 ,检测 看 它 是 否 属于 Z , 依 
次 类 推 ,直到 My 随机 选择 一 个 长 度 为 1 的 比特 串 进行 检测 为 止 ,平均 来 说 ,这 m 个 串 中 有 
Z; 中 的 元 素 , 故 平均 来 说 ,Mrv 随机 选择 ZE Z 可 在 m 二 |n| 的 多 项 式 时 间 内 完成 。 

再 看 一 下 猜 到 i 二 必 的 平均 运行 时 间 有 多 长 。 不 管 V' 怎 样 产 生 它 的 口令 者,Mv 猜测 i 


和 闻 一 样 的 概率 是 二。 因此 ,平均 来 说 ,对 每 一 个 级 联 到 伪造 的 观察 尾部 的 三 元 组 ,Mv 将 产 


生 两 个 三 元 组 。 故 平均 运行 时 间 是 m— |n| 的 多 项 式 。 可见 ,My 是 一 个 概率 多 项 式 时 间 图 
灵机 。 

下 面 用 数学 归纳 法 来 证 明 Mv (Cn, y), H) = Viewpy (Cn, y), HO, X & — i 
j:0<j<m, 令 T, 表示 第 j 轮 末 的 部 分 观察 (Cw si Z0 Cw sizs Zp) n Cw, 04) 6 ZD A 
SE Vt My fe T; 上 的 概率 分 布 为 Pw ji,Viewrv 在 Ti LAY BER ADAP view yj RED 
Py, m Puy ，Pviewp y m = Pres, y ,因此 ,如 果 能 证 明 对 所 有 的 j:0<j 入 mm ,在 六 上 的 两 个 概 
率 分 布 Pw,,; 和 P 了 view,j 是 相等 的 ,那么 就 证 明了 My CO y), H)=Viewp,v (n, y), H), 

j—0 对 应 的 是 机 器 的 开始 ,此 时 T, 是 空 集 ,因此 在 T, 上 的 两 个 概率 分 布 显 然 是 相 
等 的 。 

假定 对 某 一 ) 伺 1, 在 Tj E BITES BOREAS. Puy j HI Pview, y ,六 :是 相等 的 ,现在 证 明 
在 厂 上 的 两 个 概率 分 布 Pw 和 P viewp y i READS RU. 

考虑 交互 证 明 中 的 第 j 轮 。V 随机 选择 整数 i 二 0 的 概率 是 某 一 实数 Pi ,因此 ,随机 选 
择 整 数 i 二 1 的 概率 是 1 一 Pi ,这 里 已 依赖 于 机 器 V 1958 j 轮 的 状态 。 在 交互 证 明 中 注意 
到 ,每 一 个 ww 都 由 证 明 者 了 等 可 能 地 选择 ,又 因为 无 论 对 哪 一 个 可 能 的 口令 羡 , 所 有 的 平方 
根 都 是 等 可 能 的 ,所 以 每 一 个 Z 都 独立 于 Pi 等 可 能 地 出 现 。 因 此 ,观察 的 第 j 个 三 元 组 是 


Gi DERRE G= pR Pio sp aei 是 Z 中 平方 根 的 个 数 。 

下 面 对 Mv 作 一 个 类 似 的 分 析 。 在 Mv 的 每 一 轮 中 的 每 一 次 迁 代 中 ,Mr 以 概率 二 选择 
任何 平方 根 Z。; 一 0 FE V DG i =o 的 概率 是 于 ;i 一 1 并 且 V' 的 口令 i' 一 1 的 概率 是 
二 全。 在 这 些 情况 中 的 每 一 种 情况 ,(w,i,Z) 都 能 被 作为 伪造 的 观察 的 第 j 个 三 元 组 。 在 
每 一 轮 中 的 每 一 次 选 代 中 ,以 去 的 概率 在 带 上 没 写 任何 东西 。 对 ;一 0 的 情形 ,在 第 j 轮 中 ， 
一 个 三 元 组 (w;0,2) 在 ! 次 迁 代 后 被 作为 伪造 的 观察 的 第 了 4H CRUEL. Bk Go 


ie 三 


OD 是 伪造 的 观察 的 第 j 个 三 元 组 的 概率 是 二 M Ei 


Pi 
2Xt 


DUE MR AC 98 eee Ls E, pb det j 轮 末 ,在 Ti 上 的 两 个 概率 分 布 分 


(14-544) HER. eter imo 的 情形 ,对 ;一 1 的 情形 进行 分 析 可 得 ,(w,1,2) 是 


V 
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1—P, 
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: P. 
G—1HBD£fü Piren yoi = Priemp,ye si xo 


Pi. 
别 为 Py, = Py, i Xe G—0 时 ) 或 Pagan X t 


G—0 BD BE Pu ua X LP Gn 1 BD BAUER Pus ues = Pasa BEE 
Ty 上 的 两 个 概率 分 布 是 相等 的 。 由 归纳 法 知 ,两 个 概率 分 布 pw 和 Pvw, ,是 相等 的 。 

现在 针对 子 群 成 员 (Subgroup Membership) 问 题 给 出 另 一 个 成 员 的 完美 零 知 识 证 明 系 
统 的 例子 。 所 谓 子 群 成 员 问题 是 指 给 定 LON 和 a,BE Z; «av p.a 在 Z; 中 的 阶 为 2, 则 
(2) — (152a! ssa |} a ERMA ZS 的 一 个 1 阶 子 群 ,确定 8 是 否 属于 (a)。 记 
SM-— (Ga In LEN sas BEZ; sa WIRE Llap BE (a)|},n\lva 和 8B 都 以 二 进 制 的 形 
式 给 出 。 将 SM 称 为 子 群 成 员 语言 。 下 面 针 对 SM 语言 来 描述 一 个 成 员 的 完美 零 知 识 证 明 
系统 ,这 个 协议 的 分 析 与 对 QR 语言 的 完美 零 知识 证 明 系 统 的 分 析 类 似 ,这 里 不 再 详细 分 
析 , 感 兴趣 的 读者 可 自己 给 出 分 析 过 程 。 

设 (P,V) 是 一 个 交互 协议 ,(n,l,a,B) € SM 是 它们 的 公共 输入 ,m= 二 1n|,|n| 表 示 nn 的 
二 进 制 表 示 的 长 度 ,V 检查 是 否 n 宇 1,l 宇 1,a,BE Z; ,a 天 Bo 一 1, 如 果 不 是 则 停机 ,否则 ， 
PV 重复 执行 下 列 步 又 m X. 

COD P 随机 选择 一 个 整数 jE2, 计 算 y—o! mod n, 并 将 7 发 送 给 V。 

(2) V 随机 选择 一 个 整数 i 二 0 或 1, 并 将 i 发 送 给 P。 

(3) P EEG — Gi ik) mod n, 这 里 有 二 log? IPE h BIKA V. 

(4) V 验证 是 否 a* 三 B'Y mod n. 

如 果 在 m 轮 中 的 每 一 轮 都 有 a’ 三 BY mod n, 那 么 接收 P 的 证 明 , 即 认为 
GLa f € SM, 

前 面 给 出 的 协议 (P,V) 都 要 求 P 和 V 之 间 依 次 执行 若干 轮 ,也 可 以 要 求 P 和 V 并 行 地 
一 次 把 这 些 轮 全 部 完成 。 前 者 通常 称 为 串 行 协议 ,对 应 的 零 知 识 证 明 称 为 串 行 零 知 识 证 明 。 
后 者 通常 称 为 并 行 协议 ,对 应 的 零 知 识 证 明 称 为 并 行 零 知识 证 明 。 二 者 之 间 的 差别 参见 文 
献 [9]。 本 小 节 讨 论 的 证 明 系 统 中 ,只 有 一 个 证 明 者 了 ,也 可 以 将 此 推广 到 多 个 证 明 者 的 情 
况 , 即 证 明 者 不 只 一 个 , 详 见 文献 [10]。 关 于 成 员 的 零 知 识 证 明 就 谈 这 些 , 感 兴趣 的 读者 可 
参见 文献 L[2,10 一 13]。 在 这 里 值得 一 提 的 是 ,成 员 的 零 知识 证 明 是 针对 某 种 语言 而 言 的 , 究 
竟 哪 些 语言 具有 成 员 的 零 知 识 证 明 还 不 太 清楚 。 目 前 已 证 明 "3 ,如 果 单 向 置换 存在 ,那么 
每 一 个 NP 问题 都 存在 一 个 (计算 ) 零 知识 证 明 系 统 。 人 们 认为 存在 零 知 识 证 明 系统 的 语言 
类 要 比 NP 类 稍稍 大 一 点 。 但 很 快 人 们 就 发 现 了 一 个 Co-NP 的 语言 ( 即 图 的 非 同 构 GND 
也 有 一 个 交互 证 明 , 最 终 ,交互 的 能 力 被 发 现 远 远 超 过 了 人 们 的 想象 , 它 所 能 刻画 的 语言 
等 于 PSPACE。 


5.1.2 成 员 的 零 知识 论证 系统 


交互 证 明 系 统 有 一 种 在 密码 学 和 安全 协议 中 应 用 性 极 强 的 变 体 一 一 交互 论证 系统 
(Interactive Argument System) 。 与 交互 证 明 系 统 相 比 , 它 稍微 放宽 了 合理 性 条 件 , 即 只 要 
求 任意 的 概率 多 项 式 时 间 的 证 明 者 (而 不 是 任意 的 有 无 限 计算 能 力 的 证 明 者 ) 不 能 欺骗 诚实 
的 验证 者 。 

设 LC{0,1)" 是 一 个 语言 ,(P,V) 是 一 个 交互 协议 ,P 和 VV 均 是 概率 多 项 式 时 间 图 灵 


196 Lid i RESTR 


机 。 称 (P,V) 对 工 是 一 个 成 员 的 交互 论证 系统 (Interactive Argument System of 
Membership) ,如 果 它 满足 下 列 两 个 条 件 : 

(D 完全 性 (Completeness) : 对 每 一 个 k>0 和 充分 长 的 TEL, 将 工作 为 (P,V) 的 输 
AsV 终止 协议 并 至 少 以 1 一 |z| “的 概率 接收 zx。 这 里 的 概率 是 相对 于 协议 (P,V) 所 有 可 
能 的 掷 硬 币 而 言 的 。 

(2) 合理 性 (Soundness) : 对 每 一 个 k>0 和 充分 长 的 zg 工 , 对 任意 的 概率 多 项 式 时 间 
交互 图 灵机 P', 将 z 作 为 (P',V) 的 输入 ,V 至 多 以 |z| 一 的 概率 接收 z。 这 里 的 概率 是 相对 
于 协议 (P' ,V)7 所 有 可 能 的 掷 硬币 而 言 的 。 

零 知 识 论证 系统 的 定义 类 似 于 零 知 识 证 明 系 统 。 从 安全 性 的 角度 来 讲 , 证 明 / 论 证 系统 
的 定义 只 涉及 保护 验证 者 不 受 欺骗 (合理 性 ) 这 一 问题 。 零 知识 性 是 一 个 与 证 明 者 的 安全 性 
相关 的 概念 。 这 一 概念 要 求 对 于 验证 者 而 言 , 在 证 明 结束 时 他 除了 相信 对 方 所 证 明 的 断言 
为 真 外 ,没有 获得 任何 额外 的 “知识 ”( 或 计算 能 力 ) ,他 在 证 明 当 中 所 观察 到 的 一 切 都 可 以 被 
一 个 无 须 与 证 明 者 交互 的 概率 多 项 式 机 器 ( 即 模拟 器 ,Simulator) 所 模拟 。 

B LC (0,1) 是 一 个 语言 ,(P,V) 是 一 个 交互 协议 ,我 们 说 (P,V) 对 语言 L 是 一 个 成 员 
的 完美 (统计 ,计算 ) 零 知识 论证 系统 ,如 果 它 对 工 是 一 个 成 员 的 交互 论证 系统 并 且 关 于 
L 是 一 个 完美 (统计 、 计 算 ) 零 知识 协议 。 

如 果 证 明 / 论 证 系统 (P,V) 中 的 所 有 验证 者 消息 (除了 它 最 后 的 输出 ) 都 是 独立 (与 交互 
历史 无 关 ) 的 随机 串 , 则 称 (P,V) 为 公开 搁 币 的 证 明 / 论 证 系统 。 

在 零 知 识 的 定义 中 ,模拟 器 S 的 输入 包括 了 验证 者 V' 的 代码 ,这 也 就 是 一 般 零 知识 的 
定义 。 如 果 模 拟 器 S 在 计算 过 程 中 使 用 了 验证 者 V 的 代码 , 则 称 此 证 明 / 论 证 系统 是 非 黑 
盒 零 知识 的 ;如 果 模 拟 器 S 在 计算 过 程 中 仅 以 黑 盒 (Black-box) 的 方式 调用 V', 则 称 相 应 的 
零 知识 为 黑 盒 零 知 识 。 一 些 研 究 表明 , 黑 盒 模拟 确实 是 对 零 知 识 证 明 / 论 证 系统 的 一 种 限 
制 , 例 如 ,如 果 只 利用 黑 盒 模拟 , 则 不 可 能 构造 出 对 于 非 平凡 语言 的 常数 轮 公开 掷 币 的 零 知 
识 论 证 系统 ,但 利用 非 黑 盒 模拟 做 到 了 这 一 点 。 就 目前 技术 条 件 而 言 , 黑 盒 零 知 识 论证 系统 
从 效率 上 讲 要 比 非 黑 盒 零 知 识 论证 系统 优越 得 多 。 在 本 章 所 涉及 的 构造 中 , 绝 大 部 分 为 黑 
REAR. 

在 一 些 上 下 文 背景 清晰 的 场合 下 ,有 时 把 零 知 识 证 明和 论证 系统 统称 为 零 知 识 协议 。 


5.1.3 SNP 语言 的 零 知 识 证 明 系 统 


对 语言 工 ,如 果 存在 一 个 布尔 关系 R= (0.1}* X{0,1}" 和 一 个 正 多 项 式 pE R 能 
够 在 确定 的 多 项 式 时间 内 识别 ,并 且 zEL 当 上 且 仅 当 存 在 名 使 得 |w|<p(|z1),(z,w) € R HB 
么 工 属于 NP。 通常 称 包 为 +EL 的 证 据 。 

如 果 工 是 一 个 NP 语言 , 则 当 xzEL 时 ,断言 +EL” 有 一 个 小 于 多 项 式 长 度 的 “证 明 ” 
( 即 证 据 w) 。 经 常 把 一 个 有 着 较 短 证 明 的 断言 称 为 NP 断言 。 在 零 知 识 证 明 研 究 中 ,只 关 
a Xt NP 语言 类 的 证 明 / 论 证 系统 的 一 个 重要 原因 是 , 绝 大 多 数 密码 学 的 断言 ,如 “我 知道 密 
X c 对 应 的 明文 "等 ,都 是 NP 断言 (如 果 给 出 相应 的 密 文 和 加 密 时 所 用 的 随机 数 即 给 出 “证 
明 ”, 则 很 容易 验证 它 ) 。 

本 小 节 将 给 出 对 所 有 NP 语言 的 零 知识 证 明 系 统 。 下 面 分 成 两 步 来 达到 这 一 目标 。 

CL) 构造 一 个 对 NP 完全 语言 即 汉密尔顿 图 的 合理 性 错误 为 1/2 的 3 轮 零 知识 证 明 系 
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统 。 通 过 Cook-Levin 定理 ,可 以 对 任意 NP 语言 构造 出 具有 这 种 性 质 的 3 轮 交 互 证 明 
系统 。 

(2) 通过 顺序 合成 ,在 保持 零 知 识 的 同时 ,把 上 述 协议 的 合理 性 错误 降低 至 1/2" .这 个 
合成 后 的 协议 将 满足 零 知 识 证 明 系 统 的 定义 ,具有 零 知 识 性 和 可 忽略 的 合理 性 错误 。 

设 G—(YV.E)J — n SHR I. M= (mi )<iv<* 是 它 的 邻接 矩阵 (Adjacent 
Matrix): MEG. PAA G 的 边 , 即 (i,j) CEM m; —1. 80 mm,; 二 0。 如 果 在 图 G 中 有 一 
条 封闭 的 路 径 H 经 过 所 有 的 顶点 , 则 称 G 是 汉密尔顿 图 ,而 把 这 条 封闭 的 路 径 HE 称 为 汉 密 
尔 顿 图。 判断 一 个 图 是 否 为 汉密尔顿 图 是 一 个 NP 完全 问题 ,所 有 的 汉密尔顿 图 的 集合 就 
构成 了 一 个 NP 完全 的 语言 。 

设 Com 为 一 个 完美 绑 定 且 计 算 隐藏 的 非 交互 承诺 方案 (这 种 方案 可 以 从 单 向 置换 来 构 
造 ,具体 实例 可 参见 本 书 12. 1 节 ) ,R= (ri,;)1<iw<, 为 一 个 随机 矩阵。 使 用 R 对 邻接 矩阵 M 中 
的 值 逐 个 进行 承诺 , 记 作 C= 二 Com(M,R) 二 {Com(mij sri) }iciicn BI C 是 一 个 由 承诺 值 构成 
的 矩阵 。 

Blum 提出 的 对 图 的 汉密尔顿 圈 的 零 知识 证 明 系 统 如 下 。 

协议 5.1 

公共 输入 : 汉密尔顿 图 G, 

P 的 私有 输入 : G 的 汉密尔顿 圈 互 。 

PV, 随机 选择 一 个 置换 x MEDLER = Cri Dieu t MS micie HE rG) 
的 邻接 和 矩阵。 计算 C 二 Com(M,R) ,并 发 送 C. 

V—P: 随机 选择 一 个 比特 e, 并 发 送 e。 

PV; 如 果 e 一 0, 发 送 x,M 和 R( 即 打开 所 有 的 承诺 ); 如 果 e 一 1, 证 明 者 将 (万 ) 在 
C 中 对 应 位 置 的 承诺 值 全 部 打开 o BEIE Oniy ,ri ) 6pexcmm o 

V 的 输出 : 如 果 e—o. V 接受 当 且 仅 当 所 有 的 承诺 值 正确 且 x 是 G FIM — On Dices 
所 确定 的 图 之 间 的 同 构 ;如 果 e 一 1,V 接受 当 且 仅 当 所 有 打开 的 承诺 值 正确 且 其 对 应 的 位 
置 形成 一 个 个 顶点 的 圈 。 

现在 来 证 明 以 下 定理 。 

定理 5.1 如 果 存 在 单 向 置换 , 则 对 任何 NP 语言 存在 合理 性 错误 为 1/2 的 3 轮 零 知 识 
证 明 系 统 。 

WEB] 只 需 证 明 协议 5. 1 是 合理 性 错误 为 1/2 的 3 轮 零 知识 证 明 系统 即 可 。 很 容易 验 
证 完全 性 。 

合理 性 。 固 定 一 个 最 优 欺 骗 证 明 者 策略 P 。 注 意 到 这 里 P' 具 有 无 限 计算 能 力 ,不 失 一 般 
性 ,假定 它 为 确定 性 图 灵机 。 不 难看 出 对 于 P ,只 有 3 种 欺骗 概率 : 0、1/2、1。 如 果 P' 的 欺骗 
概率 大 于 1/2, 则 它 能 以 概率 1 使 得 诚实 验证 者 V 接受 一 个 非 汉密尔顿 图 G , 即 固定 已 的 第 
一 步 消息 , 它 既 能 正确 回答 诚实 验证 者 V 的 挑战 e 王 0, 又 能 回答 诚实 验证 者 的 挑战 一 1。 
注意 到 以 下 两 个 事实 。 

(1) 在 这 两 次 回答 中 ,承诺 方案 Com 的 完美 绑 定性 使 得 P 在 相同 位 置 上 的 承诺 被 打开 
成 同一 个 值 。 

(2) 利用 P' 在 回答 挑战 e 二 0 时 得 到 的 同 构 x 和 PP’ 在 回答 挑战 .二 1 时 得 到 的 汉密尔顿 
圈 , 可 以 重 构图 G 的 汉密尔顿 
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上 述 事 实证 明了 G 确实 是 一 个 汉密尔顿 图 ,这 与 假设 G 是 非 汉密尔顿 图 矛盾 。 

零 知 识 性 。 本 质 上 ,模拟 器 通过 预先 猜测 验证 者 V 的 挑战 比特 e 来 重 构 验证 者 的 观 
察 , 由 于 猜 对 的 概率 很 高 , 它 将 在 较 短 的 时 间 内 猜 对 并 停机 输出 。 

模拟 器 构造 如 下 。 

模拟 器 S 

CD 为 V 选 择 随机 带 ~。 

(2) 随机 选择 比特 5。 

(3) 如 果 5 二 0, 随 机 选择 一 个 置换 x 和 随机 和 矩阵 R= 二 (ri Dij M Oii N 
图 x(G) 的 邻接 矩阵 ,计算 C— Com CM, R) ;如果 5 二 1, 随 机 选择 一 个 个 顶点 的 简单 圈 HH' 
和 随机 和 矩阵 R= Cri Dici M= On jig I 五 "的 邻接 矩阵 ,计算 C=Com(M,R), 
并 发 送 C。 

(4) 如 果 接 收 到 V 的 挑战 比特 e 一 和 ,执行 诚实 证 明 者 的 策略 回答 这 一 挑战 并 输出 ”的 
输出 ;否则 返回 第 (1) 步 重新 执行 上 述 步骤 。 

注意 到 一 旦 模拟 器 S 随机 选择 的 比特 恰好 与 V 的 挑战 比特 e 一 致 , 它 便 可 以 回答 这 
一 挑战 ,从 而 产生 一 个 可 接受 的 证 明 。 由 于 猜测 正确 的 概率 为 1/2, 所 以 模拟 器 的 期 望 循环 
次 数 为 


Snd/2)" = 


在 每 一 个 循环 中 , 易 见 S 的 运行 时 间 是 多 项 式 的 , 故 S 可 在 期 望 多 项 式 时 间 内 停机 并 输出 。 

接 下 来 将 证 明 S 的 输出 与 真实 交互 中 V^ 的 输出 是 计算 不 可 区 分 的 。 

用 反 证 法 证 明 这 一 事实 : 如 果 这 两 个 分 布 是 计算 可 区 分 的 , 则 可 构造 算法 打破 承诺 方 
案 的 计算 隐藏 性 。 这 里 将 用 到 前 面 已 经 提 到 的 一 个 简单 事实 : 如 果 S 重 构 的 观察 与 真实 交 
互 中 VV 的 观察 计算 不 可 区 分 , 则 S 的 输出 与 真实 交互 中 V' 的 输出 计算 不 可 区 分 。 

设 图 G 的 汉密尔顿 圈 为 也 ,x HH 与 模拟 器 S 在 最 后 一 个 循环 中 选中 的 简单 圈 五 "之 
间 的 同 构 ,H' 二 x(HH)。 注 意 到 当 模 拟 器 S 正确 地 猜 到 2 一 e 一 0 时 , 它 所 重 构 的 观察 与 真实 
交互 中 六 的 观察 服从 同一 分 布 ,而 当 它 正 确 地 猜 到 2 一 e 一 1 时 , 它 所 重 构 的 观察 与 真实 交 
互 中 六 的 观察 仅 在 承诺 矩阵 C 中 某 些 位 置 上 的 被 承诺 值 不 同 : 在 S 所 计算 出 来 的 C 中 ,被 
承诺 的 邻接 矩阵 M 中 对 应 的 x(G) 除 了 五 ' 之 外 的 边 的 位 置 上 的 值 为 0, 而 在 真实 的 交互 中 
这 些 位 置 上 的 值 为 1。 这 些 不 同 值 的 位 置 共 有 |E| 一 n 个 ,这 里 |E| 为 图 G 的 总 边 数 。 

现在 构造 一 系列 混合 (Hybrid) 算 法 来 证 明 S 的 输出 与 真实 交互 中 六 的 输出 计算 不 可 
区 分 。 

几 点 说 明 如 下 : 

(1) 下 面 所 有 算法 均 为 非 一 致 算法 ,它们 把 图 G 的 汉密尔顿 圈 互 当成 辅助 输入 。 所 谓 
非 一 致 (Non-uniform) 多 项 式 时间 图 灵机 是 一 个 二 元 组 (M,a) ,其 中 M 为 一 个 多 项 式 时 间 
图 灵机 ,a 二 (a1,as，…) 为 一 个 无 限 序 列 , | a, | — poly Cn) (poly(n) 是 一 个 固定 的 多 项 式 )， 
4 也 称 为 建议 (Advice) 序 列 。 给 定 输入 z, 图 灵机 M 把 a 当成 额外 的 输入 然后 运行 。 注 意 
到 这 里 对 于 同样 规模 的 问题 zx, 图 灵机 M 所 得 到 的 “建议 ?是 相同 的 。 即 对 任意 z;、zj;, |z; — 
Ix; | M 的 额外 输入 都 是 a1;1 二 a1;1。 为 了 方便 ,经 常 把 某 个 图 灵机 M 直接 称 为 非 一 致 图 
灵机 而 省 略 其 “建议 序列。 由 于 非 一 致 图 灵机 能 够 得 到 额外 的 “建议 ”, 他 的 计算 能 力 比 普 
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通 的 图 灵机 稍 强 一些 。 非 一 致 多 项 式 时 间 图 灵机 等 价 于 多 项 式 规模 的 电路 艇 。 可 以 类 似 地 
定义 3 个 等 价 物 , 非 一 致 概率 多 项 式 时 间 图 灵机 (及 算法 ) 和 概率 多 项 式 规模 的 电路 簇 ,这 里 
将 交 蔡 使 用 这 3 个 概念 。 注 意 到 能 在 概率 多 项 式 时 间 内 识别 的 语言 一 定 能 在 非 一 致 多 项 式 
时 间 内 识别 , 故 非 一 致 多 项 式 时 间 图 灵机 (算法 .电路 ) 和 非 一 致 概率 多 项 式 时 间 的 图 灵机 
(算法 、 电 路 ) 在 密码 学 意义 上 并 没有 区 别 ,但 有 时 为 了 清晰 地 描述 某 个 具体 的 攻击 算法 ,加 
上 了 “概率 ”一 词 ,虽然 在 本 章 的 定义 中 都 省 略 了 它 。 
(2) 预先 随机 选择 一 个 随机 置换 x, 下 面 所 有 算法 将 使 用 这 个 固定 的 x。 这样 做 的 好 处 
是 在 分 析 中 讨论 的 被 承诺 邻接 矩阵 是 同一 个 矩阵 M, 方 便 比 较 那 些 具 有 不 同 被 承诺 值 的 
位 置 。 
(3) 把 x(G) 除 了 H' 二 x( 日 ) 之 外 的 边 按 字 典 序 排序 ,每 条 边 对 应 一 个 有 序 自然 数 i。 
非 一 致 模拟 器 S^. 与 模拟 器 S 相同 ,除了 第 (3) 步 中 在 2 一 1 的 情况 下 ,S" 使 用 简单 圈 
H'=x(H) ,而 不 是 随意 选择 H' 
非 一 致 模拟 器 S (1 委 运 | 一 2) : 与 模拟 器 S 相同 ,除了 第 (3) 步 中 在 0—1 的 情况 
下 ,S' 设置 的 邻接 矩阵 M HORT H =x HZ db i IRIS BU AL 1, 
容易 观察 到 以 下 几 点 事实 。 
CD 尽管 S 设置 的 邻接 矩阵 可 能 不 是 x(G) 的 邻接 矩阵 ,但 它 在 正确 猜测 到 e — 1 的 情况 
下 仍 能 响应 这 一 挑战 ,应 为 那些 相应 位 置 上 非 正常 的 被 承诺 值 并 未 被 打开 。 
(2) 在 图 G 是 汉密尔顿 图 的 前 提 下 ,随机 选择 简单 圈 HH’ 与 随机 选择 x 并 设置 H’ = 
(万 ) 的 效果 相同 。 这 使 得 事实 上 S 的 输出 与 S 的 输出 服从 同一 分 布 。 
(3) 非 一 致 模拟 器 SI“" 的 输出 与 真实 交互 中 V 的 输出 服从 同一 分 布 。 
为 简单 起 见 , 把 S 的 输出 仍 记 为 $ ,注意 到 它 是 一 个 由 它 自 身 的 随机 带 所 索引 的 随机 
变量 。 真 实 交换 中 V 的 输出 简 记 为 output V’). 
如 果 对 于 足够 大 的 n, 存 在 概率 多 项 式 时间 算 法 D 和 多 项 式 p(n) 使 得 
| Pr[D(S) = 1] — Pr[DCoutput(V)) = 1] |> 1/p(n) 
则 有 
| Pr[D(S) = 1] — Pr[D(output(V’)) = 1] | 
=| PrLDCS?) = 1] — PDC) = 1] | 
| PrLD(S") = 1]—Pr{D(S') = 1] + Pr[D(S') = 1] 
— ++ — Pr[ DCS!) = 1] + Pr[ DG!) = 1] 
—Pr[Dcs!*™") = 1] |>1/p(@) 
进而 存在 某 个 i 使 得 
| PLDCS7) = 1]—Pr[D(S‘) = 1] |> 1/( E |— mp(n) 
此 不 等 式 的 左边 可 以 写成 
| PrLDCGS?) = 1] — PrLDGS) = 1] | 
=| Pr[D(S*") = 1 | b = 0JPr[5 = 0] 
十 Pr[D(S=-) = 1 | b = 1]Pr[b = 1] 
PrLD(S) = 1 | b = 0]Pr[b = 0] 
Pr[D(S‘) = 1 | b = 1]Pr[b = 1] | 
这 里 56 二 1(5 二 0) 是 最 后 一 个 循环 中 比特 65 的 值 。 注 意 到 Pr[b=0]=Pr[b=1]=1/2 并 且 
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Pr[DCS7) 21|5—0]— Pr[LDCS) —1|5—0]. WA 
| Pr[D(S™) —1| b = 1] =Pr[D(S) — 1| 5 — 1]| 
>2/(| E |—n) p(n) 

这 表明 算法 D 能够 区 分 S 一 的 输出 与 S' 的 输出 , 即 能 够 区 分 V YE S 一 最 后 一 个 循环 中 的 
观察 与 它 在 S 最 后 一 个 循环 中 的 观察 。 注 意 到 在 最 后 一 个 循环 中 , 当 2 一 1 时 由 S 一 所 重 
构 的 ”的 观察 与 由 S 所 重 构 的 V 的 观察 唯一 的 区 别 在 于 ,S’ 设置 的 邻接 矩阵 M 中 ,x(G) 
除了 HH ==x( 晶 ) 之 外 第 i 条 边 对 应 的 位 置 为 1, 而 S™' 在 相应 的 位 置 上 设置 的 值 为 0, 此 外 ， 
这 个 位 置 上 的 承诺 在 STR S BRŽA V 的 最 后 一 条 消息 中 并 未 被 打开 ,这 使 得 容易 构造 
一 个 非 一 致 多 项 式 时 间 的 算法 ,打破 该 位 置 上 承诺 方案 Com 的 计算 隐藏 性 ,从 而 导致 了 
矛盾 。 

定理 5.2 如 果 存 在 单 向 置换 , 则 顺序 执行 n 次 (证 明 者 和 验证 者 在 每 一 次 执行 时 独立 
选择 新 的 随机 带 ) ,协议 5. 1 便 得 到 了 一 个 对 汉密尔顿 图 的 合理 性 错误 为 1/2" 的 零 知识 证 
明 系 统 。 

这 个 定理 的 证 明 留 给 读者 。 这 里 想 强 调 顺 序 合成 并 不 影响 协议 的 零 知识 性 : 只 需 对 每 
个 子 协 议 依 次 调用 模拟 器 S 即 可 。 虽 然 模 拟 器 的 运行 时 间 拉 长 了 nn 倍 , 但 它 仍 是 期 望 多 项 
式 时 间 。 


5.1.4 ”知识 的 零 知识 证 明 


大 家 知道 ,在 成 员 的 零 知 识 证 明 中 ,证明 者 向 验证 者 泄露 了 lb 的 信息 , 即 zEL 6。 但 在 某 
些 应 用 场合 ,要 求证 明 系统 不 能 泄露 任何 信息 。 例 如 ,在 大 多 数 现 有 的 身份 识别 技术 (如 ID 
卡 \ 信 用 卡 、 计 算 机 口令 、PIN 号 等 ) 中 ,证 明 者 已 通过 提交 记 在 心中 或 印 在 卡 上 的 一 个 词 
i(P) 来 证 明 他 的 身份 。 这 样 ,一 个 与 不 诚实 的 验证 者 合作 的 敌手 就 能 得 到 该 卡 的 一 个 副本 
或 者 知道 了 这 个 词 CP) ,从 而 敌手 可 使 用 i(P) 来 假扮 享受 i(P) 所 允许 的 访问 或 服务 。 
解决 这 个 问题 的 一 个 办 法 是 证 明 者 P 使 用 零 知 识 证 明 来 使 验证 者 V 相信 他 知道 i(P), 而 
不 泄露 i(CP) 的 任何 一 个 比特 。 这 种 零 知 识 证 明 就 是 本 节 将 要 介绍 的 知识 的 零 知 识 证 明 。 

设 (P,V) 是 一 个 交互 协议 ,P AV 均 具有 多 项 式 时 间 的 计算 能 力 ,公共 输入 为 
ZXE1{0,1}" ,P 拥有 一 条 私有 知识 带 S。 设 RR 是 {0,1)" 上 的 一 个 多 项 式 时 间 的 二 元 关系 (这 
个 关系 是 公开 知道 的 )。 称 RR 是 {0,1)" 上 的 一 个 二 元 关系 ,是 指 R 是 {0,1)* X (0,1) * 的 一 
个 子 集 。 如 果 (z,w) ER, 称 zx 和 也 满足 关系 RW Raw) =H, BK x Mw 不 满足 关 
AR iH Raw) =. 通常 称 R 是 (10,1})" 上 的 一 个 多 项 式 时 间 的 二 元 关系 ,是 指 
及 是 满足 下 列 两 个 条 件 的 {0,1}” 上 的 一 个 二 元 关系 : |w| 不 超过 |z| 的 多 项 式 ; ONE 
何 z,wE10,1)* ,可 在 |z| 的 多 项 式 时 间 内 检测 出 是 否 R(zx,w) 二 真 。 例 如 ,可 以 考虑 下 列 
的 关系 Raw): w dé c 模 一 个 素数 Q 的 离散 对 数 或 z Je x 的 一 个 完全 分 解 。 

我 们 说 (P,V) 对 多 项 式 时 间 关 系 R 是 一 个 知识 的 交互 证 明 系 统 (Interactive Proof 
System of Knowledge) ,如 果 它 满足 下 列 两 个 条 件 : 

(1) 完全 性 (Completeness) : 对 所 有 的 充分 长 的 xz, 如 果 在 P 的 知识 带 S 上 存在 一 个 
w 使 得 R(z,w) 为 真 ,并 且 P 和 V 都 遵循 协议 ,那么 V 将 以 很 大 的 概率 接收 x, 即 对 每 一 个 
k>0 和 充分 长 的 z: 存在 wES, 使 R(r,w) 一 真 ,V 至少 以 1 一 |z| 一 的 概率 接收 z( 即 相信 
P AË ER w) HE w). 
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(2) 合理 性 (Soundness): 对 每 一 个 大 盖 0, 存 在 一 个 多 项 式 时 间 的 概率 图 灵机 
MM 被 允许 在 没有 修改 或 检查 它 的 带子 的 情况 下 ,可 重 置 和 重新 运行 P' 多 项 式 次 ) ,使 得 
对 每 一 个 c 之 0, 对 所 有 的 P (可 能 不 诚实 ) ,已 的 随机 带 RP“ 和 充分 长 的 z, 如 果 将 x 作为 
(P',V) 的 公共 输入 ,V 至 少 以 |z| 一 的 概率 接收 z, 那 么 将 z 作为 (P',M) 的 公共 输入 ， 
CP' ,MD) 至 少 以 1 一 |z| “的 概率 输出 一 个 ww 使 得 RC(z,w ) 为 真 。 

REDER WR P AË w, V 将 以 很 大 的 概率 接收 已 对 xz 的 证 明 。 条 件 (2) 是 说 ,如 
R P RAŠ w.V 将 以 很 小 的 概率 接收 已 对 z 的 证 明 。 所 说 的 P 知道 ww, 是 指 存在 某 一 多 
项 式 时间 概 率 图 灵机 MOM 被 允许 在 没有 修改 或 检查 它 的 带子 的 情况 下 ,可 重 置 和 重新 运 
行 卫 多 项 式 次 ) ,使 得 M RIP 交互 的 结果 是 w。 将 上 述 定义 中 的 M 称 为 知识 抽取 器 。 知 识 
的 证 明 系 统 的 概念 有 多 种 定义 ,这 些 定义 之 间 有 一 些微 小 的 差别 ,有 的 书 中 也 将 上 述 定义 的 
知识 证 明 系 统称 为 强 知识 的 证 明 系 统 。 

我 们 说 一 个 协议 (P,V) 对 多 项 式 时 间 关 系 R 是 完美 (统计 、 计 算 ) 零 知识 的 ,如 果 对 任 
何 多 项 式 时 间 的 概率 图 灵机 V CV 带 有 一 条 附加 输入 带 ,V“ 的 附加 输入 记 为 互 ) ,随机 变量 
族 Viewp v ={ Viewr,y Gr Ho oaoev A FERA L'— (Gr H) | f£fEw€ S. ff Rw) =H, 
| 五 | 不 超过 |z| 的 多 项 式 |} 是 完美 (统计 、 计 算 ) 可 逼近 的 。 我 们 说 (P,V) 对 多 项 式 时 间 关 系 
R 是 一 个 知识 的 完美 (统计 .计算 ) 零 知识 证 明 系 统 , 如 果 它 对 R 是 一 个 知识 的 交互 证 明 系 
统 并 且 是 完美 (统计 、 计 算 ) 零 知识 的 。 

由 定义 知 ,知识 的 完美 零 知 识 证 明 系 统一 定 是 知识 的 统计 零 知 识 证 明 系统 ,知识 的 统计 
零 知 识 证 明 系 统一 定 是 知识 的 计算 零 知识 证 明 系 统 。 通 常 将 知识 的 计算 零 知 识 证 明 系 统称 
为 知识 的 零 知识 证 明 系 统 ,简称 知识 的 零 知 识 证 明 。 

文献 [14] 中 讨论 了 一 种 与 FFS 模型 相 类 似 的 模型 ,在 这 种 模型 中 ,证 明 者 P 能 证 明 
TEL RIEL. WIE V MITEL EIEL IM P 的 证 明 , 除 此 之 外 ,V BAM P OB 
里 获得 任何 附加 信息 。 但 被 动 的 窃听 者 C( 不 允许 参加 或 插入 协议 ) 不 能 确定 xEL 还 是 
XFL, 并 且 不 能 确定 P 的 证 明 是 否 可 信 。 关 于 知识 的 零 知 识 证 明 的 定义 已 给 出 了 许多 
Rp ,本 小 节 介绍 的 是 FFS 的 定义 四 ,文献 [6] 中 也 说 明了 知识 的 零 知 识 证 明 系 统 的 存在 
性 , 它 指出 : 在 NPNCo_NP 中 的 任何 问题 都 有 一 个 知识 的 零 知识 证 明 系统 。 不 过 由 FFS 
的 定义 易 知 文献 [12] 中 关于 所 有 NP 问题 的 成 员 的 交互 零 知 识 证 明 也 是 知识 的 交互 零 知识 
证 明 。 关 于 知识 的 零 知 识 证 明 也 可 参阅 文献 [16]、[17]。 知 识 的 零 知 识 证 明 在 安全 协议 的 
研究 中 有 着 重要 的 作用 ,作为 知识 的 零 知 识 证 明 的 应 用 ,在 这 里 暂 举 一 例 。 

下 面 来 描述 一 个 身份 识别 协议 ,这 个 协议 的 目的 是 能 使 证 明 者 了 向 验证 者 V 证 明 他 的 
身份 ,而 事后 V 又 不 能 冒充 P。 这 里 假定 存在 一 个 可 信任 的 中 心 ,该 中 心 的 唯一 目的 是 公 
开 两 个 形式 为 4r 十 3 的 大 素数 的 乘积 n, 这 种 整数 称 为 Blum 整数 ,在 各 种 密码 应 用 中 使 用 
这 种 整数 作为 模 ,Blum 整数 的 最 有 用 的 特性 之 一 是 : 一 1 是 模 的 一 个 非 二 次 剩余 ,并 


且 一 1 的 Jawbi 符 号 为 二 1, 即 ( 二-) 一 1。 在 公开 后 ,中 心 可 以 被 取消 或 关闭 ,因为 它 再 没 


有 其 他 作用 。 协 议 中 的 每 个 人 都 能 使 用 ,但 没有 人 能 知道 n 的 分 解 。 
P 的 秘密 身份 证 i(P) 的 产生 过 程 如 下 。 
CD 在 Z, 中 随机 选择 个 数 Si,S;:,… Ske 


(2) 随机 地 ,独立 地 选择 厂 一 土 志 mod n,1<j<h。 
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(3) 公开 D Lon Lud POS, Dn IOK P HARF E rub RE 
SiS, Se, 将 iP) 一 (Si,S，…,Se) 作 为 了 的 秘密 身份 证 。 

验证 者 V 知道 公开 的 n 和 P;(P) ,证 明 者 已 想 使 V 相信 他 知道 ;(P) ,但 又 不 想 对 立 泄 
露 任何 信息 。 为 了 达到 这 一 点 ,P 和 V 重复 执行 下 列 步 骤 + 次 ( 轮 数 t 能 降低 P 的 欺骗 
概率 ) 。 

(1) 书 选 择 一 个 随机 数 尺 ,计算 X 一 士 R mod n, 并 将 它们 之 中 的 一 个 发 送 给 V。 

(2) V 随机 选择 一 个 向 量 (E, ,…,Ee)EZ ,并 发 送 给 P。 

(3) PitfE Y =R [[ S; Gnod n), 并 将 Y RZA V. 


(4) V 验证 是 否 X =Y [[ I; mod ». 
Ej71 


l<ji<n 

在 上 述 的 身份 识别 过 程 中 ,P 没有 提交 他 的 秘密 身份 证 ,也 没有 去 向 V 证 明 他 的 公开 
身份 证 的 合法 性 ,而 是 向 V 通过 显示 他 拥有 关于 他 的 秘密 身份 证 的 知识 来 证 明 他 的 公开 身 
份 证 的 合法 性 。 

文献 [6] 中 证 明了 在 假定 求 模 的 平方 根 困难 的 条 件 下 ,上 述 协 议 是 {5;) 和 的 知识 的 
零 知识 证 明 , 其 中 k=O(log(log n)),t 二 O(log 22 «n 的 因子 分 解 是 未 知 的 。 

在 前 面 的 论述 中 ,将 协议 中 的 参加 者 (如 证 明 者 、 验 证 者 欺骗 者 等 ) 都 抽象 成 一 台 概 率 
图 灵机 。 一 台 机 器 是 由 它 所 运行 的 程序 或 算法 来 控制 的 ,程序 或 算法 和 机 器 之 间 是 相互 决 
定 的 ,由 此 可 见 ,可 以 将 机 器 视 作 程序 或 算法 ,在 现实 世界 中 ,有 时 也 可 以 将 机 器 视 作 人 、 现 
实 的 计算 机 等 实体 。 


5.1.5 ”知识 的 证 明 /论证 系统 


零 知识 协议 的 可 合成 性 (Composibility) 研 究 最 开始 主要 是 为 了 降低 合理 性 的 错误 概 
率 , 如 5.1. 3 小节 中 提 到 的 顺序 合成 (Sequential Composition) 和 并 行 合 成 (Parallel 
Composition) ,但 后 来 研究 者 们 把 目光 转向 了 研究 如 何在 更 具 敌 意 的 环境 中 来 保持 系统 的 
零 知识 性 ,由 此 引出 了 更 高 级 的 合成 一 一 并 发 合成 (Concurrent Composition) 。 在 本 节 中 ， 
主要 考虑 前 两 种 简单 的 情形 。 

顺序 合成 是 指 一 个 协议 自身 被 多 次 执行 ,每 次 执行 都 发 生 在 上 次 调用 结束 后 并 且 诚 实 
的 一 方 在 一 次 执行 完成 后 将 独立 选取 新 的 随机 数 进入 下 一 次 执行 。 顺 序 合 成 已 被 证 明 是 保 
持 零 知识 性 的 ,并 且 合 理性 错误 概率 随 着 执行 的 次 数 增加 呈 指 数 级 下 降 。 如 同 定理 5. 2 所 
述 , 如 果 系 统 (P,V) 具 有 和 零 知识 性 并 且 合 理性 错误 概率 为 1/2, 那 么 对 它 进行 n 次 顺序 执行 
所 形成 的 新 系统 (P',V ) 仍 保持 零 知 识 性 且 合 理性 错误 概率 下 降 为 1/2". 

注意 到 以 这 样 的 方式 来 降低 合理 性 错误 概率 极 大 地 牺牲 了 效率 ,以 轮 复杂 性 (在 协议 执 
行 中 每 发 送 一 个 消息 称 为 一 轮 ) 为 例 , 如 果 原 来 的 协议 (P,V) 轮 数 为 c, 则 新 协议 (P'“,V“) 是 
一 个 cn 轮 的 协议 。 

并 行 合成 是 指 一 个 协议 的 多 个 同步 执行 ,这 里 同步 指 的 是 不 同 的 执行 中 的 证 明 者 和 验 
证 者 按照 相同 的 步调 发 送 消息 , 即 验 证 者 同时 发 送 第 i 条 消息 ,接着 所 有 的 证 明 者 向 对 应 的 
验证 者 发 送 第 i 十 1 条 消息 。 最 后 验证 者 接受 当 且 仅 当 所 有 的 这 些 执行 产生 的 副本 都 是 可 
接受 的 。 
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并 行 合成 最 大 的 好 处 就 是 在 保持 原来 协议 的 轮 复杂 性 同时 降低 了 合理 性 错误 ,在 本 节 
中 将 看 到 这 一 点 。 但 它 也 带 来 了 一 个 巨大 的 问题 : 在 一 般 情 况 下 ,无 法 证 明 合成 后 的 协议 
仍 具有 零 知 识 性 。 

虽然 并 行 合成 在 某 种 程度 上 会 损害 零 知 识 性 ,但 它 保持 一 种 比 零 知 识 性 稍 弱 但 仍 具 有 
极 强 应 用 价值 的 隐私 性 : 证 据 不 可 区 分 。 简 单 地 讲 ,证据 不 可 区 分 的 证 明 /论证 系统 具有 这 
样 的 性 质 : 对 于 一 个 断言 的 两 个 证 据 ,在 执行 一 个 证 据 不 可 区 分 的 证 明 系 统 后 ,验证 者 不 能 
判定 证 明 者 在 这 个 证 明 中 使 用 的 是 哪个 证 据 。 

设 (P,V) 为 语言 工 的 一 个 交互 证 明 /论证 系统 。 如 果 对 于 任意 的 多 项 式 规模 的 电路 C. 
公共 输入 zxEL 和 它 的 两 个 证 据 wo w AE (rw) ER, MCa, w) ER), FERA BEYL 
变量 族 : 

(D (OP Go) CO (2) bere 

(2) {(P(w) 0) (2) ben 
是 计算 (完美 .统计 ) 不 可 区 分 的 , 则 称 证 明 / 论 证 系统 C(P,V) 是 计算 (完美 统计) 证 据 不 可 区 
分 的 。 

显然 ,一 个 协议 是 零 知 识 的 , 它 必 然 是 证 据 不 可 区 分 的 ,但 反之 则 不 成 立 。 尽 管 证 据 不 
可 区 分 是 一 个 稍 弱 的 概念 ,读者 将 在 以 后 的 讨论 中 会 看 到 它 的 威力 。 事 实 上 ,证 据 不 可 区 分 
证 明 / 论 证 系统 是 构造 几乎 所 有 具有 高 安全 性 零 知识 协议 的 基本 模块 。 

现在 来 构造 一 个 具有 很 低 合 理性 错误 的 证 据 不 可 区 分 证 明 系 统 。 它 是 协议 5.1 的 一 个 
简单 的 并 行 版 本 。 

协议 5.2( 协 议 5. 1 并 行 版 ) 

公共 输入 : 汉密尔顿 图 G, 

P 的 私有 输入 : G 的 汉密尔顿 圈 互 。 

P-—V, 随机 选择 k PS BR roe me MK PEL ERE R = Cruises ts 
Re = (rf; iciicn A Mi = (ml iciicn n «Mam OD ies DIA E m CG) t n CO B AB 
接 和 矩阵。 计算 C; —ComC(M, ,Ri se Cr 7 Com M; Ri) JEAXC C. 

VP; 随机 选择 比特 串 e= Ce eno ,并 发 送 e。 

P—V; 对 于 所 有 的 L1 k. WME e; — 0. RK m, M, 和 R,; 如 果 ew 王 1, 证 明 者 将 
me CH) fg C, 中 对 应 位 置 的 承诺 值 全 部 打开 , 即 发 送 (zf eri D operscm。 

V 的 输出 : 对 于 所 有 的 LISIS k, V 用 在 协议 5. 1 单 次 执行 时 同样 的 方式 检查 第 ! 个 
副本 是 否 正 确 , 它 接受 当 且 仅 当 它 接受 全 部 k 个 副本 。 

读者 可 能 会 想到 利用 5. 1. 3 小 节 中 构造 的 模拟 器 来 证 明 这 个 并 行 版 本 的 零 知 识 性 。 但 
这 种 经 典 的 重 置 模拟 方式 并 不 可 行 。 对 于 协议 5. 1 ,模拟 器 猜测 验证 者 挑战 比特 的 概率 很 
高 ,所 以 它 能 在 很 短 时 间 内 猜测 正确 ;对 于 协议 5.2, 当 大 值 比较 大 时 , 它 猜测 正确 的 概率 可 
忽略 ,所 以 不 可 能 在 期 望 多 项 式 时 间 内 完成 模拟 。 

虽然 协议 5. 2 不 是 零 知 识 的 ,但 它 是 一 个 证 据 不 可 区 分 证 明 系统 。 

定理 5.3 ”如 果 存 在 单 向 置换 ,协议 5. 2 是 一 个 合理 性 错误 为 1/2* 的 计算 证 据 不 可 区 
分 证 明 系 统 。 换 名 话说 ,如 果 存 在 单 向 置换 , 则 对 任何 NP 语言 存在 证 据 不 可 区 分 证 明 
系统 。 

证 明 完全 性 显然 。 这 里 不 证 明 协 议 5. 2 的 合理 性 错误 ,而 是 在 本 小 节 后 半 部 来 证 明 
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它 的 一 个 比 合理 性 更 强 的 性 质 。 
证 据 不 可 区 分 性 。 设 图 G 具有 两 个 不 同 的 汉密尔顿 圈 五 , 和 Hu 。 进 一 步 假 设 存 在 多 
项 式 时 间 的 验证 者 "能够 区 分 证 明 者 在 一 个 协议 的 执行 中 使 用 的 证 据 是 瓦 , 还 是 Hs , 即 对 
于 足够 大 的 ”存在 概率 多 项 式 时 间 算 法 D METR p(n) 使 得 
| PEDCOPCH ,VCz) = 1] — PrEDGPGH,V)G)) = 1] |> 1/p(n) 
利用 混合 论证 的 办 法 证 明 它 不 可 行 ,否则 将 打破 协议 5. 1 的 零 知 识 性 。 考 虑 以 下 证 明 
者 策略 。 
证 明 者 策略 P^: 与 证 明 者 PCH ) 完 全 一 致 , 即 在 协议 5. 1 的 所 有 k 次 执行 中 ,证 明 者 
PP 使 用 同一 个 证 据 Ho. 
证 明 者 策略 PIOHEZISL IO : 除了 在 第 /次 执行 子 协议 5. 1 时 使 用 证 据 Hi ,其 余 与 证 明 
者 PAR 
根据 假设 ,有 
| PrLD(CCP(CH) ,V0(GD) = 1] — Pr[D((P(H,),V’)(G)) = 1] | 
=| Pr(D((P*,V’)(G)) = 1] — Pr[D((P*,V’)(G)) = 1] | 
=| Pr[D((P®,V’)(G)) = 1] — Pr[D((P',V’)(G)) = 1] 
+Pr[D((P',V’)(G)) = 1] — + PrLDGUOP ,V) (6)) = 1] 
+PrlD((P*",V’)(G)) = 1] — PrÉDGUP* Vv’) (G)) = 1] |> 1/pG) 
进而 存在 某 个 i 使 得 
| PrLD(CP ,V’)(G)) = 1] — Pr D(CP',V’)(G)) = 1] | 1/kp(n) 
注意 到 P 与 证 明 者 P' 唯 一 的 区 别 在 于 它 第 /次 执行 子 协议 S. 1 时 使 用 证 据 H, ,同时 注 
意 到 子 协议 5. 1 的 计算 零 知 识 性 和 证 明 者 在 执行 子 协议 时 使 用 独立 的 随机 带 。 考 虑 以 下 混 
合 分 布 。 
随机 变量 HS. HS 是 有 关 V 的 观察 的 一 个 随机 变量 。 在 这 个 观察 中 ,调用 模拟 器 S 来 
输出 第 /次 执行 子 协 议 5. 1 时 的 观察 ,在 所 有 其 他 的 协议 执行 中 ,使 用 证 明 者 策略 PIU S 
V' 交 互 。 
由 于 协议 5. 1 的 零 知 识 性 ,对 于 任意 的 多 项 式 gq(n) ,有 
| PrELDCCP? ,V’)(G)) = 1] — Pr[D(HS) = 1] |< 1/g(n) 
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与 
| PrEDCCP',V)(G)) = 1] — Pr[D(HS) = 1] |< 1/40) 
进而 对 于 任意 的 多 项 式 g(n) ,有 
| PrLD(CCP ,VD)(G)) = 1] — Pr[D(P'.V’)(G)) = 1] |< 1/4) 

这 与 前 面 的 不 等 式 矛 盾 , 因 此 协议 5. 2 是 计算 不 可 区 分 的 。 

接 下 来 讨论 关于 合理 性 的 一 种 加 强 的 变 体 : 知识 的 证 明 / 论 证 。 本 质 上 ,合理 性 要 求 当 
NP 断言 错误 时 ,敌意 的 证 明 者 无 法 使 得 诚实 的 验证 者 接受 这 一 断言 ;而 知识 的 证 明 / 论 证 
则 进一步 要 求 一 旦 诚实 的 验证 者 接受 某 个 断言 , 则 能 高 效 地 提取 出 这 个 NP 断言 的 一 个 
证 据 。 

设 (P,V) 为 语言 工 的 一 个 合理 性 错误 为 e(z) 的 证 明 / 论 证 系统 。 对 于 所 有 的 zx 和 所 有 
的 多 项 式 规模 的 电路 C ,如 果 PrLCC,V) (2) —1]— p(n) Se(n) , Wl fe fe — A ER BK 
间 的 知识 提取 器 下 ,给 定 C 的 代码 或 把 C 当成 Oracle 来 调用 , 它 能 以 p(n) —eG0 — p(n) RO 
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概率 输出 w 使 得 (z,z)ER ,这 里 wp(z) 为 可 忽略 函数 ,那么 称 ( 了 ,V) 为 语言 工 的 一 个 知识 
的 证 明 ( 论 证 ) 系 统 。 

不 难 验证 协议 5. 1 是 合理 性 错误 为 1/2* 的 知识 的 证 明 系 统 。 对 于 某 个 图 G, 观 察 到 如 
果 某 个 证 明 者 P' 能 以 大 于 1/2* 的 概率 ,使 得 诚实 验证 者 接受 G 为 汉密尔顿 图 这 一 断言 , 则 
它 至 少 能 回答 诚实 验证 这 两 个 不 同 的 挑战 比特 串 ,不 妨 设 为 &@ 一 (qd are ek) Ale! = Cet seer 
d) Ep este. ROBE BEAL P 在 执行 第 : 个 子 协议 5. 1 时 既 能 回答 验证 者 的 挑战 比特 e 一 0 
又 能 回答 e 一 1, 这 样 就 能 够 从 这 两 个 回答 中 计算 出 图 G 的 汉密尔顿 图 。 读 者 可 以 检验 这 一 
提取 汉密尔顿 圈 的 成 功 概率 符合 定义 要 求 。 


5.2 非 交 互 零 知 识 证 明理 论 


现在 考虑 这 样 一 种 情况 : P 和 V 是 两 个 数学 家 ,P 动身 作 一 次 长 的 环球 旅行 ,在 旅行 期 
间 他 继续 从 事 他 的 数学 研究 。 我 们 希望 P 每 发 现 一 个 新 定理 的 证 明 都 能 通过 给 V 写 一 张 
明信片 用 零 知识 证 明 他 的 论断 的 合法 性 。 但 是 因为 已 没有 固定 或 可 预测 的 地 址 并 且 在 任 
何 邮件 寄 到 了 寄 来 的 明信片 上 写 的 地 址 之 前 他 已 离开 ,所 以 即使 V 乐意 与 P 交互 ,也 无 法 
5j P 取得 联系 ,可 见 ,前 一 节 介 绍 的 交互 零 知 识 证 明 已 不 再 适合 这 种 应 用 环境 ,这 里 需要 一 
个 单项 交互 , 即 只 是 从 PP 到 V。 适 用 于 这 种 应 用 环境 的 零 知 识 证 明 就 是 下 面 将 要 介绍 的 非 
交互 零 知识 证 明 (Non-Interactive Zero-Knowledge Proof)。 像 交互 零 知识 证 明 的 研究 一 
样 ,目前 ,在 非 交 互 零 知识 证 明 的 研究 中 ,人 们 也 主要 关心 两 种 模型 : 一 种 是 成 员 或 定理 的 
非 交 互 零 知识 证 明 系 统 ; 另 一 种 是 知识 的 非 交 互 零 知识 证 明 系 统 。 本 节 只 讨论 成 员 或 定理 
的 非 交 互 零 知识 证 明 系 统 ,简称 非 交 互 零 知识 证 明 。 对 知识 的 非 交 互 零 知识 证 明 系 统 ,这 里 
不 作 讨 论 , 感 兴趣 的 读者 可 参阅 文献 [18]、[19]。 需 要 指出 的 是 ,知识 的 非 交 互 零 知识 证 明 
系统 的 构造 不 像 知识 的 交互 零 知 识 证 明 系 统 的 构造 那样 容易 。 

首先 应 该 认识 到 去 掉 交 互 也 是 有 代价 的 ,在 证 明 中 需要 引入 一 个 可 信 的 第 三 方 。 读 者 
容易 验证 对 于 非 平凡 语言 ,在 没有 交互 和 可 信 第 三 方 的 情况 下 , 则 无 法 构造 一 个 零 知 识 证 明 
系统 。 在 现实 世界 中 ,为 了 提高 效率 或 达到 其 他 目的 ,在 安全 系统 中 通常 假定 了 可 信 第 三 
方 ,如 PKI。 这 就 使 得 非 交互 零 知 识 协议 有 着 非常 广阔 的 应 用 前 景 。 一 方面 , 它 不 需要 交 
互 ; 另 一 方面 ,在 现实 中 卷 人 可 信 第 三 方 是 可 行 的 。 

这 个 非 交 互 模型 有 两 个 必要 成 分 , 即 公共 参考 串 和 计算 困难 性 。 公 共 参 考 串 是 由 可 信 
第 三 方 提供 的 ,证 明 者 和 验证 者 都 能 够 读 取 公共 参考 串 。 这 种 证 明 非 常 简单 , 它 就 是 证 明 者 
发 送 给 验证 者 的 一 条 消息 ,然后 验证 者 根据 这 条 消息 去 决定 是 否 接受 。 

具体 地 讲 ,一 个 非 交互 证 明 系 统 由 一 个 公共 参考 串 生 成 算法 K( 由 可 信 第 三 方 来 运 
行 ) 一 个 证 明 者 P 和 一 个 概率 多 项 式 时 间 验 证 者 V 构成 ,这 里 诚实 证 明 者 有 时 是 指数 时 间 
的 。 如 果 证 明 者 能 被 概率 多 项 式 时 间 实 现 , 则 称 相应 的 证 明 系 统 为 高 效 证 明 者 (Efficient 
Prover) 证 明 系统 。 给 定安 全 参数 n, 公 共 参 考 串 生成 算法 生成 一 个 多 项 式 长 度 的 公共 参考 
串 c。 证 明 者 已 把 公共 输入 z、 相 应 的 证 据 ww 及 公共 参考 串 o 当成 输入 ,生成 一 个 证 明 xs 
验证 者 V 验 证 三 元 组 (z,c,r) 并 输出 接受 或 拒绝 。 


5.2.1 非 交 互 证 明 系统 
与 交互 证 明 系统 相对 应 ,在 介绍 非 交互 零 知识 证 明之 前 首先 来 描述 非 交 互 证 明 系 统 。 


L3 REREH 理论 与 实践 


在 一 个 非 交 互 证 明 系统 中 也 有 两 个 分 别称 为 证 明 者 和 验证 者 的 参加 者 。 证 明 者 知道 某 一 定 
理 的 证 明 , 他 希望 向 验证 者 证 明 他 的 确 能 证 明 这 一 定理 。 一 个 语言 L 的 非 交 互 证 明 系 统 由 
两 个 阶段 构成 : 第 一 个 阶段 是 预 处 理 阶段 , 主要 建立 证 明 者 和 验证 者 拥有 的 某 些 共同 信息 
以 及 他 们 各 自 拥 有 的 某 些 秘密 信息 ,这 个 预 处 理 阶段 独立 于 定理 证 明 阶段 ,而 且 允 许 证 明 者 
和 验证 者 之 间 进 行 交互 ;第 二 个 阶段 是 定理 证 明 阶 段 , 证 明 者 选择 并 向 验证 者 证 明定 理 ,这 
个 定理 证 明 阶 段 是 非 交互 的 。 证 明 者 和 验证 者 可 分 别 考虑 作 P= OP, PA V= V V). 
P, 和 P; 是 任意 概率 图 灵机 (一 般 认 为 P; 具有 无 限 的 计算 能 力 ),V,， 和 V: 都 是 概率 多 项 式 
时 间 图 灵机 (也 称 多 项 式 时 间 的 概率 图 灵机 )。 设 k 是 一 个 安全 参数 。 

我 们 说 P= (P,P,) 和 V==(V1,V,) 对 一 个 语言 LC{0.1)" 构成 一 个 非 交 互 证 明 系统 ， 
如 果 对 所 有 充分 大 的 上, 下列 两 个 阶段 的 要 求 都 满足 : 

(1) 预 处 理 阶段 。 通 过 P, 和 Vi 的 交互 产生 3 个 输出 o、Sp、Sv, 其 中 oc 是 Pl AV, 共 
同 拥有 的 公共 信息 ( 亦 称 参考 串 ) ,Sr 是 P. 的 秘密 信息 ,Sv EV, 的 秘密 信息 。 如 果 Pi 不 
采纳 规定 的 协议 ,那么 Vi 以 很 高 的 概率 输出 “拒绝 ”。 

(2) 定理 证 明 阶 段 ( 所 谓 * 定 理 ” 意 指 手边 的 一 个 串 EL). Po 非 交 互 地 向 V: 证 明定 理 
(关于 任何 输入 的 通信 仅 是 从 P» 到 V 的 一 个 消息 ) 。 

QD 完全 性 。 对 每 一 个 7ELN (0.1) ,PCV: (1*,o,Sv,z,p) 一 接收 : (0, Sp, S) — 
(Py eV at ge P; OI io,Sp,2))2:1—27* BI V: 以 很 高 的 概率 接收 P» 的 证 明 。 

© 合理 性 。 对 每 一 个 zELN {0.1)* 及 每 一 个 概率 图 灵机 Pi ,P(Vs:(1*,c,Sv,z,B) 一 
接收 : (o. Sp S) (OP VD as sge- PH (1*0, Sp 20) 275 BD Vn 以 很 小 的 概率 接收 P， 
的 证 明 。 

其 中 , 工 RAL 的 补 , 即 不 属于 工 中 的 元 素 所 组 成 的 集合 。1* 表示 个 1 的 级 联 。 
(Pi OV) cw 表示 关于 输入 工 的 输出 的 概率 空间 ,在 这 些 输出 中 ,也 许 一 些 是 Pi 或 Vi 的 秘 
密 信息 ,而 另 一 些 是 它们 的 共同 信息 。 如 果 S 是 一 个 概率 空间 ,那么 z<-S 表示 根据 S 的 概 
率 分 布 随 机 选择 一 个 元 素 分 配给 z 的 一 个 算法 。 如 果 S 是 一 个 有 限 集合 ,那么 cO S 表示 
S 中 均匀 地 随机 选择 一 个 元 素 分 配给 z BU — ERE. PO, yix y Ty AER 
在 依次 执行 完 算法 reS, yT 等 后 ,关系 p(z,y,…) 是 真 的 概率 。 

HE. 上 述 定义 是 一 个 更 一 般 的 定义 , 预 处 理 阶段 获得 的 go、Sp、Sv 中 的 某 些 可 以 是 空 
串 ; 加 在 某 些 情况 下 ,也 允许 非 交 互 证 明 系 统 把 以 前 的 定理 及 其 证 明 的 历史 作为 一 个 附加 
输入 。 

下 面 将 对 一 类 特殊 语言 L 描述 一 个 非 交 互 证 明 系 统 ,在 此 之 前 , 先 介 绍 一 点 预备 知识 。 

关于 合 数 的 测试 有 以 下 结果 : 存在 一 个 多 项 式 时 间 的 概率 算法 TEST(。,。) 使 得 : 


DMR r ERA MALERE AS {rlr 是 一 个 串 并 且 7 的 长 度 为 |z| } 中 ,至 少 有 总 使 得 


TEST(z,7) 二 合 数 ; @ 如 果 工 是 素数 ,那么 对 所 有 的 ~, 都 有 TESTO, D = RR. 

整数 z 的 长 度 是 指 z 的 二 进 制 表示 的 串 的 长 度 ,表示 为 |z|。 要 特别 注意 在 不 同 的 场 
合 ,|z| 的 含义 不 同 。 如 果 z 是 一 个 实数 , |z | 表示 e HAM. MR 并 是 一 个 串 , |z | 表示 
工 的 长 度 。 如 果 工 是 一 个 集合 ,|z| 表 示 x 中 元 素 的 个 数 。 

对 正 整数 xz, 用 IE! 和 Jz' 分 别 表示 Zi 中 Jacobi 符号 为 +1 和 一 1 的 集合 。 

我 们 说 一 个 正 整数 r 是 正规 的 ,如 果 |Jz' | 二 |J7'|。 用 Regular(s) 表 示 具 有 s +A 
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素 因子 的 全 体 正规 整数 之 集 。 关 于 正规 整数 ,由 Jacobi 符号 的 定义 易 知 下 列 结论 成 立 : 一 
个 奇 整数 T€ RegularG) , 当 且 仅 当 它 有 个 不 同 的 素 因 子 并 且 不 是 一 个 完全 平方 数 。 

设 奇 整数 zxERegular(s) ,定义 等 价 关系 一 * 为 yi 一 ya, 当 且 仅 当 my 是 模 工 的 一 个 
二 次 剩余 。 则 Z; KENAR ~ 分 成 2 个 等 价 类 且 所 有 的 等 价 类 含有 的 元 素 个 数 都 相 
同 。 特 别 地 ,三 : 由 等 价 关 系 一 - 分 成 2 一 个 等 价 类 且 所 有 的 等 价 类 含有 的 元 素 个 数 都 相 
同 ,都 等 于 模 z 的 二 次 剩余 的 个 数 。 

Xt nE N, i SQNR(n) = { (x, y) | x E Regular(2),2 WAH, |z| <n, yE Ji! (A 
y 不 是 模 工 的 一 个 二 次 剩余 }, SQNR = U SQNR(n)。 REl r| RREA r WKE. i 
G,3)€ SQNR,z€ J7' ,说 sSEZ: 是 z 的 一 个 (z,y) 根 ,如 果 z 二 ss mod x R zy=s mod x, 
fig s= Ve, 

下 面 就 来 描述 一 个 对 语言 SNQR 的 非 交 互 证 明 系 统 。 

CD 预 处 理 阶段 。P, 和 W 共同 拥有 一 个 mb 随机 串 o( 即 参考 串 ), 设 so 二 010,…ow ,每 
个 o, Cin ) 的 长 度 为 n,Sp 和 Sy 都 是 空 串 。 

(2) 定理 证 明 阶 段 。P: 非 交 互 地 向 Va 证 明定 理 。P, Wü V. 的 共同 输入 为 
(x,y) ESQNR (n) , P, Al V2 的 执行 规则 分 别 如 下 。 

P, 的 执行 规则 为 : 对 ;一 1,2，… 既 ,如果 o © IT ,那么 随机 地 选择 并 发 送 s 一 ”MYa 。 

Va 的 执行 规则 如 下 。 

V:.1. 验证 zx My, WR r EREKE y EJI ,就 继续 执行 V,.2, 否 则 就 停机 并 拒 
绝 接 收 。 

V2.2. 验证 x 是 不 是 一 个 完全 平方 数 , 如 果 不 是 ,就 继续 执行 V. 3, 否 则 就 停机 并 拒绝 
接收 。 

V:.3. 验证 x 是 不 是 一 个 素数 备 , 如果 不 是 ,就 继续 执行 V;. 4, 否则 就 停机 并 拒绝 
接收 。 

V,.4. 对 每 一 个 o, € JE" AME s; = "Vo Va 就 接收 Po 的 证 明 , 否 则 就 停机 并 拒绝 
接收 。 

因为 Jacobi 符号 能 在 多 项 式 时 间 内 计算 出 ,所 以 V: 的 执行 步骤 V,.1 和 V,.4 可 在 多 项 
式 时 间 内 验证 。V; 的 执行 步骤 V:. 2 显然 可 在 多 项 式 时 间 内 验证 。 而 V:. 3 可 由 下 列 步 又 
来 完成 : 

V2. 3.1. 计算 整数 a 和 w 使 得 x 二 w*。 如 果 存 在 整数 a 和 ww 使 得 x 二 wr ,那么 a 的 取 值 
范围 只 能 是 1,2,… ,|zx| ,通过 搜索 能 找到 整数 a Al w 使 得 x 二 wr。 

V2.3. 2. 如 果 对 所 有 的 1<i<n’ ,TEST(w,o;) 一 素数 ,那么 V, 停机 并 拒绝 接收 。 

由 执行 步骤 Vo. 3.1 A V2. 3.2 以 及 合 数 的 测试 算法 TEST(。,。) 可 知 ,Vi. 3 可 在 多 项 
式 时 间 内 完成 。 综 上 所 述 ,V: 是 多 项 式 时 间 的 。 

现在 来 证 明 上 述 系 统 满足 完全 性 和 合理 性 。 

完全 性 : 如 果 (z,y)ESQNR(z) ABA V2.1 和 V:.2 显然 以 概率 1 通过 验证 。 下 面 着 
重 讨论 V:.3 和 V,. 4 通过 验证 的 概率 。 

对 任何 固定 的 整数 ERegular(2) , 合 数 的 测试 算法 TESTO +. * KF oi 输出 素数 的 


概率 至 多 是 也 ,这 样 V.. 3 不 能 通过 验证 的 概率 至 多 是 ( 书 ) 。 因 为 对 某 一 个 ww, 至 多 有 
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2 个 工 使 得 (zvaa)E SQNROD ,所 以 Vo. 3 不 能 通过 验证 的 概率 至 多 是 2"X (È) ot FE 


分 大 时 ,2"X (F) <2, BOM n FEI Ve. 3 通过 验证 的 概率 不 小 于 17277. 


当 xE Re gular(2) 时 ,由 前 面 的 讨论 知 ,在 及 ' 中 有 两 个 等 价 类 ,也 就 是 o 或 者 是 模 
a 的 一 个 二 次 剩余 或 者 是 与 y 在 一 个 等 价 类 中 ,在 后 者 这 种 情况 下 ,yo; 是 模 z 的 一 个 二 次 
剩余 ,因此 ,V;. 4 以 概率 1 通过 验证 。 

由 上 述 讨 论 知 ,对 充分 大 的 n, 当 (z,y)ESQNR(w) 时 ,V, 以 不 小 于 1 一 2-” 的 概率 接收 
P: 的 证 明 , 说 明 此 系统 满足 完全 性 。 

合理 性 : 如 果 (z,y) € SQNRCI z| n. | y| <n), BA x REA IE My EIT 时 ， 
显然 ,Vi.1 通 不 过 验证 的 概率 为 1。 当 z 是 奇 正 整数 并 且 yE JJ: 时 ,有 下 述 两 种 情况 : 
DrERe gular(2), 但 y ER r 的 一 个 二 次 剩余 ; Oré Re gular(2)。 在 情况 下 ,对 任何 
固定 的 输入 (去 ,7),V:.4 能 通过 验证 的 充 要 条 件 是 所 有 的 ci 过 i 魏 好) 都 是 模 碟 的 二 次 剩 
余 , 而 Jz 由 等 价 关 系 一 - 分 成 含 相同 个 数 的 2 二 4 个 等 价 类 ,所 以 每 个 o; ERT 的 一 个 二 次 
剩余 的 概率 至 多 是 十, 这 样 ,2. 4 能 通过 验证 的 概率 至 多 是 (十 ) —27 。 因 为 对 某 一 固 
定 的 了 ,至 多 有 2" Ar x Cn | 0 ff Gr 5) € SQNRH. y HRT 的 一 个 二 次 剩余 ,所 以 V,. 4 
能 通过 验证 的 至 多 是 2 x 2775 一 2 所 1 。 当 区 充分 大 时 ,2 +<2-2, 因 此 ,在 情况 DO 下， 
W.4 能 通过 验证 的 概率 不 大 于 2 ”。 在 情况 @ 下 ,或 者 (A)z 不 是 正规 整数 ,或 者 (B) 
XERe gular(1 ,或 者 (C)zERe gular(s),s 二 3。 在 情况 (A) 下 ,一 个 奇 正 整数 zx 一 定 是 一 个 
完全 平方 数 ,这 将 在 V;. 2 中 被 检测 出 。 在 情况 (B) 下 ,z 是 一 个 素数 寡 , 将 在 〖:. 3 中 被 检测 
出 。 在 情况 (C) 下 ,对 任何 固定 的 (z,7) ,TE Re gularG) 223 .V;. 4 能 通过 验证 的 充 要 条 件 是 
对 每 一 个 cEJz ,或 者 ci 或 者 cjy 是 模 的 一 个 二 次 剩余 MIT 至 少 有 4 个 等 价 类 ,因而 


o, Roy 是 模 工 的 一 个 二 次 剩余 的 概率 至 多 是 孝 。 这 样 ,V. 4 能 通过 验证 的 概率 至 多 是 


(X) 927. RAELE PG.» € SQNRC In. | y| <n) HEHEA V. 4 能 通 


过 验证 的 概率 至 多 是 2" x 277 —277 77,4 n EA KR 27 7277, We RO T. 
Va. 4 能 通过 验证 的 概率 不 大 于 2-”。 综 上 所 述 , 此 系统 满足 合理 性 。 


5.2.2 非 交 互 零 知识 证 明 


非 交 互 零 知 识 证 明 是 一 种 特殊 的 非 交 互 证 明 系 统 , 它 要 求 在 证 明 中 不 允许 泄露 任何 有 
用 的 消息 。 像 交互 零 知 识 证 明 系 统一 样 , 非 交互 零 知 识 证 明 系统 的 证 明 者 能 使 验证 者 相信 
工具 有 某 种 具体 的 特性 (诸如 zxE 工 ) ,但 执行 完 协议 后 ,验证 者 自己 仍然 一 点 也 不 知道 如 何 
来 证 明 z 具有 这 个 特性 。 

为 了 定义 零 知 识 性 , 先 介绍 一 些 记 号 。 

对 任何 图 灵机 Vi ECP) VD Od A Pi 和 人 交互 的 输出 、 交 互 的 历史 和 人 的 抑 硬 
币 所 构成 的 概率 空间 ,把 交互 的 历史 和 Vi RO DERE ID L— JURE h。 用 (o,Sp Sv TO A 
这 个 空间 的 一 个 元 素 。 

设 P=(P,.P2) . V= Vi ,V:) 是 关于 语言 工 的 一 个 非 交 互 证 明 系 统 。 对 每 一 对 概率 多 
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项 式 时 间 图 灵机 V = CV1 ,Vi) (允许 它们 有 附加 的 输入 带 ) 和 ELN (0. 1) * 38 VXEP X 
于 输入 z WWE View? (1*,z) ,这 里 

View? C1*, x) = (Co. Sv, h, proof): (a, Sp» Sys h) 一 (Pi V'i) C1*); proof <— 
P:(1*,cySr,z))} 是 一 个 随机 变量 。 

我 们 说 一 个 关于 语言 工 的 非 交 互 证 明 系 统 也 = 一 (P, P) V= V V EE 
算 ) 零 知识 的 ,如 果 对 每 一 对 概率 多 项 式 时 间 图 灵机 V =V ,Vs) ,存在 一 个 概率 多 项 式 时 
间 图 灵机 S 使 得 对 每 一 个 充分 大 的 BR 8E— zr €L(1(0. 1)* , View? (1* x) fü SCI* a) 
是 完美 (统计 、 计 算 ) 不 可 区 分 的 。 

ik. @@ 允 许 非 交 互 零 知识 证 明 系 统 把 以 前 的 定理 及 其 证 明 历 史 、 交 互 历史 作为 一 个 附 
加 输入 ,这 里 为 了 简单 起 见 ,没有 考虑 ; 加 由 定义 易 知 , 非 交 互 完美 零 知识 证 明 系 统一 定 是 
非 交 互 统计 零 知 识 证 明 系 统 , 非 交互 统计 零 知 识 证 明 系 统一 定 是 非 交 互 计 算 零 知识 证 明 系 
统 ; 图 如 果 证 明 者 多 次 使 用 同一 个 参考 串 o 使 验证 者 相信 许多 定理 的 正确 性 ,那么 产生 的 
非 交 互 证 明 系 统 也 许 不 再 是 零 知识 的 ,这 种 性 质 称 为 有 界 性 ,具有 这 种 性 质 的 非 交 互 零 知识 
证 明 系 统称 为 有 界 的 非 交 互 零 知识 证 明 系 统 ,5.2.1 小 节 中 的 例子 就 是 一 个 有 界 的 非 交 互 
完美 零 知 识 证 明 系 统 , 下 面 将 证 明 其 零 知 识 性 。 

为 了 说 明 5. 2. 1 小 节 中 的 非 交互 证 明 系 统 是 (完美 ) 零 知识 的 ,首先 构造 一 个 概率 多 项 
式 时 间 图 灵机 (模拟 器 )S ,其 运行 程序 如 下 。 

输入 : (x,y) E SQNR(n). 

S. 1. it Proof 一 空 串 。 

S.2. X} i— 1,2, n^ ,随机 地 选择 一 个 n 比特 整数 s;, 如 果 s: EIT! ,那么 设 oi 二 s;, 否 则 
掷 一 个 硬币 ,如 果 是 0, 设 6 二 simod x 并 把 s; 级 联 到 Proof, 如 果 是 1, 设 mx=y s? mod z JF 
把 s; 级 联 到 Proof, 

S.3. 设 co 一 coo…aez o 

输出 : (c,proof) 。 

为 在 这 个 非 交 互 证 明 系 统 中 ,Sp 和 Sy 都 是 空 串 , 所 以 和 欲 证 明 这 个 系统 是 (完美 ) 零 知 
识 的 , 只 需 证 明 对 所 有 的 充分 大 的 和 所 有 的 (z,y)E SQNR On). 有 
View!” (1" Gr. y)) =S", (zy))。 其 中 View? (1". Cx, y)) = (Co proof): o4 (0. 1}"; 
proof<P,(1",0,(z,y))}. JRBIHIEBI H S 输出 的 随机 变量 和 由 V 看 到 的 随机 变量 是 完全 
一 样 的 ,这 样 ,这 两 个 随机 变量 不 能 被 任何 观察 者 (Observer) 或 区 分 者 (Distinguisher) 区 别 
开 来 。 

事实 上 , 易 知 o 随机 地 分 布 在 所 有 的 zeb 长 的 串 上 。 另 外 ,如 果 o € J7 ,那么 对 应 的 5; 
是 ci 的 一 个 随机 的 (z,y) 根 。 这 样 ,关于 输入 (z,y) 和 si 属于 S 的 输出 的 概率 和 属于 从 证 
明 者 了 发 送 给 验证 者 V 的 证 明 的 概率 是 一 样 的 。 故 View Q" ,Cr,y)) 一 SG Ge y». 

目前 已 有 不 少 文献 讨论 了 非 交 互 零 知识 证 明 系 统 , 主 要 讨论 其 实现 问题 ,文献 [5j 中 作 
了 详尽 的 论述 。 文 献 [21] 中 解决 了 文献 [4] 中 的 两 个 公开 问题 ,文献 [22] 中 也 独立 地 解决 了 文 
献 [4] 中 的 第 一 个 公开 问题 。 文 献 L21] 中 证 明了 任何 单 向 置换 能 代替 二 次 剩余 并 证 明了 对 
实现 有 界 的 非 交 互 零 知识 证 明 单 向 置换 是 充分 的 ,但 证 明 者 需要 指数 计算 能 力 。 文 献 [23] 
中 指出 了 文献 L21] 中 的 漏洞 ,并 说 明了 如 何 通过 一 个 附加 的 证 书 来 修改 这 个 漏洞 。 文 献 
[24] 中 说 明了 非 交 互 堆 知识 证 明和 不 变数 字 签 名 的 等 价 性 。 如 果 任 何 单 向 函数 存在 ,文献 
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[25] 中 指出 ,在 一 个 交互 的 预 处 理 阶段 后 ,任何 充分 短 的 定理 能 被 非 交 互 地 、 零 知识 地 证 明 ， 
而 文献 [26] 中 指出 ,在 通过 执行 一 个 健忘 传输 协议 的 预 处 理 阶段 后 ,任何 定理 能 被 非 交 互 
地 、 零 知识 地 证 明 。 


5.2.3 公开 可 验证 的 非 交互 零 知 识 证 明 


由 证 明 者 P 所 提供 的 一 个 定理 的 证 明 , 关 于 它 的 验证 有 以 下 两 种 可 能 性 。 

(1) 定理 的 证 明 被 直接 提供 给 一 个 特定 的 验证 者 V 而 且 只 有 V 才能 验证 。 

(2) 定理 的 证 明 能 被 系统 中 的 任何 用 户 验证 。 
在 后 一 种 情况 下 , 称 证 明 是 公开 可 验证 的 。 

我 们 说 一 个 非 交 互 零 知识 证 明 系 统 是 公开 可 验证 的 ,如 果 这 个 系统 的 证 明 者 所 提供 的 
证 明 是 公开 可 验证 的 。 

公开 可 验证 的 非 交互 零 知 识 证 明 系统 的 重要 性 在 于 它 可 以 应 用 于 数字 签名 和 消息 认 
证 等 密码 协议 之 中 ,证 明 的 公开 可 验证 性 将 对 应 于 任何 人 能 检验 签名 。 文 献 [27]、[28] 
中 提出 了 实现 公开 可 验证 的 非 交 互 零 知识 证 明 系 统 的 一 些 方法 ,这 些 系统 都 允许 在 非 交 
互 地 ,` 零 知识 地 证 明定 理 之 前 ,许多 证 明 者 和 验证 者 无 需 相 互 交互 ,但 文献 [3] 一 [5] 中 的 
系统 限制 证 明 者 和 验证 者 共享 一 个 参考 串 来 非 交互 地 进行 零 知 识 证 明 ,这 样 , 如 果 许 多 
用 户 希 望 互相 证 明定 理 , 那 么 它们 中 的 每 对 都 不 得 不 共享 一 个 参考 串 , 参 考 串 的 数量 随 
用 户 数量 的 增加 而 迅猛 地 增加 ,这 是 不 切合 实际 的 。 

在 需要 执行 大 量 安全 协议 的 大 型 网 络 中 , 非 交 互 堆 知识 证 明 是 十 分 有 用 的 。 这 是 因为 
在 这 些 协议 中 零 知 识 是 十 分 关键 的 ,同时 交互 需要 花 更 大 的 代价 ,一 个 典型 安全 协议 的 内 部 
计算 能 在 几 秒 钟 内 完成 ,而 交换 电子 邮件 所 花 的 时 间 是 它 的 上 百倍 。 这 样 ,在 安全 协议 中 ， 
非 交 互 零 知识 证 明 也 许 被 用 来 节省 昂贵 的 通信 圈 。 文 献 [29] 中 讨论 了 非 交 互 零 知 识 证 明 在 
公 钥 密码 系统 中 的 应 用 ,文献 [23] 中 对 此 也 作 了 进一步 讨论 。 文献 [27] 中 介绍 了 非 交 互 零 
知识 证 明 在 数字 签名 、 消 息 认 证 和 识别 号 的 无 记忆 分 配 等 方面 的 一 些 应 用 。 


5.3 Sigma 协议 


自从 证 据 不 可 区 分 这 个 概念 提出 以 来 , 它 便 成 为 构造 零 知 识 证 明 / 论 证 系统 最 为 广泛 使 
用 的 基本 工具 , 绝 大 多 数 零 知 识 证 明 / 论 证 系统 都 是 从 一 个 3 轮 证 据 不 可 区 分 的 证 明 /论证 
系统 转化 而 来 。 在 很 多 情况 下 ,对 NP 语言 工 的 满足 某 些 特定 性 质 的 零 知 识 论证 系统 一 般 
通过 以 下 方式 来 构造 : 先 对 工 构造 一 个 3 轮 证 据 不 可 区 分 的 论证 系统 ,然后 利用 一 个 组 合 
器 来 把 它 转化 成 满足 要 求 的 目标 论证 系统 。 通 常 ,组 合 器 是 由 一 些 对 某 些 具体 的 (数论 ) 问 
题 ( 可 能 独立 于 语言 工 ) 的 3 轮 证 据 不 可 区 分 论证 系统 构成 的 ,这 样 ,转化 后 的 零 知 识 协议 的 
效率 就 严重 依赖 于 组 合 器 中 对 于 这 些 具 体 的 数论 问题 的 3 轮 证 据 不 可 区 分 论证 系统 的 效 
率 。 在 这 种 背景 下 ,一 些 常 见 的 3 轮 证 据 不 可 区 分 论证 系统 的 某 些 特殊 性 质 就 被 抽象 出 来 
成 为 一 个 非常 有 用 的 模块 ,这 就 是 Sigma 协议 , 记 为 了 协议 。 

三 协议 是 一 个 具有 特殊 合理 性 的 诚实 验证 者 零 知识 协议 。 我 们 将 看 到 对 于 一 些 具体 的 
语言 ,能 绕 过 Cook-Levin 定理 , 即 无 需 先 把 它 归 约 到 NP 完全 语言 ,直接 构造 非常 高 效 的 
= PX. 


一 个 对 语言 工 的 王 协 议 (P,V) 是 一 个 满足 下 面 两 个 条 件 的 3 56 FE DE IR HO EB /16 UE 
系统 。 

(1) 特殊 合理 性 : 记 (P,V) 中 第 1.2、3 轮 消息 分 别 为 Ca,e,z) (一 般 称 消息 。 为 挑战 ) 。 
给 定 两 个 形 如 (ae'z) Aae ,x ) 的 可 接受 的 副本 ,只 要 ez , 便 可 计算 出 公共 输入 EL 
的 证 据 ww。 

(2) 特殊 诚实 验证 者 零 知识 : 对 于 xEL, 给 定 一 个 随机 挑战 e, 存 在 一 个 概率 多 项 式 时 
间 模 拟 器 S, 输 出 一 个 可 接受 的 副本 (a,e,z), 且 它 与 诚实 证 明 者 和 诚实 验证 者 之 间 的 真实 
交互 所 产生 的 副本 是 完美 (统计 、 计 算 ) 不 可 区 分 的 。 

不 难 验 证 协议 5. 1 和 协议 5. 2 都 满足 协议 的 两 个 条 件 , 于 是 便 得 到 了 以 下 定理 。 

定理 5.4 如果 存在 单 向 置换 , 则 对 任何 NP 语言 存在 王 协议 。 

直觉 上 ,由 于 能 够 从 对 任意 两 个 不 同 的 挑战 的 响应 中 提取 出 相应 的 证 据 ,所 以 5 协议 是 


合理 性 错误 为 址 -的 知识 的 证 明 /论证 系统 。 严 格 的 证 明 略 显 繁琐 ,推荐 读者 参考 Damgard 
的 讲义 em。 
定理 5.5 三 协议 是 一 个 合理 性 错误 为 区 的 知识 的 证 明 /论证 系统 。 


虽然 三 协议 没有 要 求证 据 不 可 区 分 这 一 非常 有 用 的 性 质 ,但 这 一 性 质 可 以 通过 对 三 协 
议 的 异 或 合成 来 获得 : 给 定 对 两 个 语言 Lo、Li W X MMS, 和 马 , 可 以 构造 一 个 对 语言 


LAL, V Ly 的 son 协议, 它 满足 证 据 不 可 区 分 性 。 

协议 5.3 

公共 输入 : (zo ,zx1)EL( 即 证 明 ao € Lo n E€ Li) o 

P 的 私有 输入 : w lif w) € Ry, ,5—0 3X 1, 

PV, 按照 协议 S, 利用 私有 输入 ww 计算 这 个 协议 的 第 一 轮 消息 w ,随机 选择 一 个 挑战 
e, ,利用 模拟 器 S 计算 协议 -的 一 个 可 接受 的 交互 副本 (a1-,e1- x-,) ,然后 它 按 随机 顺 
FF RIK a, Mais. 

VP: 发 送 一 个 随机 比特 eo 

PV: 置 e, —eQDei-, ,把 e, 当成 HNMR. AA with X, 的 最 后 一 轮 消息 m 
发 送 [E fil zii. 

V 的 输出 : V 接受 当 且 仅 当 6 一 ee1-; ,并且 两 个 副本 (ww ses m Caii seis m, eT 
接受 的 。 

命题 5.1 MRS, MS 都 是 具有 特殊 诚实 验证 者 完美 (统计 、 计 算 ) 零 知识 的 5 协议 ， 
则 对 于 来 自 z。EL 的 证 据 和 x, CL, 的 证 据 , 协 议 5. 3 是 完美 (统计 、 计 算 ) 证 据 不 可 区 
分 的 。 

WEBB 这 里 仍然 使 用 混合 论证 的 办 法 来 证 明 。 考 虑 以 下 证 明 者 策略 。 

证 明 者 HP: HP 执行 证 明 者 P 的 策略 ,但 是 它 在 执行 协议 X o BEBE a € Li, WE 
据 ,而 不 是 利用 模拟 器 S 来 预先 计算 一 个 副本 。 

分 别 记 x, € Lo Max € Li 的 证 据 为 zw Aw. HF So MS, 都 满足 特殊 诚实 验证 者 完 
美 ( 统 计 、 计 算 ) 零 知识 性 ,所 以 对 任意 b. OP Ai CPH VO Gro «a ) 和 分 布 (PH,V)(zo,zi) 是 完 
美 (统计 、 计 算 ) 不 可 区 分 的 ,进而 有 (PC ),V)(Czo,zi) 和 (PC ),V)(zo'zi) 是 完美 ( 统 
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计 、 计 算 ) 不 可 区 分 的 。 

虽然 定理 5. 3 断言 对 任意 的 NP 语言 工 都 能 构造 三 协议 (给 定语 言 工 的 一 个 实例 z, 先 
把 它 转化 成 一 个 汉密尔顿 图 G, 然 后 对 G 构造 一 个 三 协议 ), 但 这 样 的 协议 通常 计算 效率 非 
常 低 。 下 面 给 出 几 个 对 具体 数论 问题 的 非常 高 效 的 三 协议 。 

第 一 个 是 针对 离散 对 数 问题 的 协议 。 设 n OEC pa 为 两 个 素数 使 得 p 一 2g 十 1， 
lq| —.G, 为 2Z; 的 一 个 阶 为 4 的 子 群 ,g 是 G, 的 一 个 生成 元 。 给 定 公 共 输 入 (8 hi pep. 
RE hH g AG, 中 两 个 元 素 ,h 王 g”modp。 现 在 假设 证 明 者 知道 离散 对 数 ww, 他 向 验证 者 
证 明 他 知道 w。 

协议 5.4 

公共 输入 : (eho pq. 

P 的 私有 输入 : wE h=g" mod p, 

P—V: 随机 选择 一 个 r<—Z, iT 3E a=g mod p, 并 发 送 a。 

VP: 发 送 一 个 随机 比特 串 eZ, 

P—V; 发 送 z—(r--ew) mod q. 

V 的 输出 : V e524 ELDUS g*=ah* mod p. 

很 容易 验证 协议 5.4 是 一 个 协议。 给 定 挑战 随机 串 e, 可 以 随机 选择 一 个 >, 计算 
a 二 g*/h*。 另 外 ,如 果 某 个 证 明 者 能 够 回答 两 个 不 同 的 挑战 e。 和 e', 就 可 以 计算 h 的 离散 对 
Bl w=(2—2')/(e—e") ,这 里 x 是 证 明 者 对 挑战 e 的 一 个 正确 的 回答 。 

第 二 个 是 针对 二 次 剩余 问题 的 协议 。 设 ”为 安全 参数 , 设 N=pq. pa 为 两 个 素数 使 得 
pp 二 29 十 1,1g| 二 n。 4 J 为 ZN 中 所 有 Jacobi 符号 为 1 的 元 素 组 成 的 子 群 ,QRw 为 Z% 中 
所 有 二 次 剩余 组 成 的 子 群 。 给 定 公共 输入 sEJx 5 N ,现在 假设 证 明 者 知道 s 的 一 个 平方 
Hw (w^ =s(mod ND) ,他 向 验证 者 证 明 s€ QRx 。 

协议 5.5 

公共 输入 : sEJx SN, 

P 的 私有 输入 : wE w =slmod ND. 

PV; 随机 选择 一 个 r<—Zy ,计算 o 一 mod N ,并 发 送 a. 

VP: 发 送 一 个 随机 比特 e<-{0,1)。 

P->V: 如 果 e 一 0, 发 送 z—rw mod N; MH e=1, RIK r. 

V 的 输出 : e— 0 时 , 接受 当 且 仅 当 as— z! (mod N);e=1 时 ,接受 当 且 仅 当 
a=r mod N, 

读者 可 以 验证 协议 5.5 也 符合 协议 的 要 求 。 

对 于 某 些 语言 的 3or 协 议 ,除了 有 具有 证 据 不 可 区 分 性 ,还 具有 另 一 个 重要 的 性 质 , 即 证 
据 隐 藏 。 下 面 以 对 离散 对 数 问 题 的 5or 协 议 为 例 来 介绍 这 一 性 质 。 

协议 5.6 

公共 输入 : hosh ,p,q)。 

P 卫 的 私有 输入 : w 1 h, =g" mod p. 

PV: 随机 选择 一 个 reZ ei Z, FI zi Z, dE SE a, = g'mod p fl ai, = 
g^ / hà mod p 并 按 随机 顺序 发 送 aj «ai, o 

VP. 发 送 一 个 随机 比特 串 eZ, 
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PV: 计算 e,=e 由 e_ ,发送 z,— (r+e,w)mod qfll zi. 

V 的 输出 ; 接受 当 且 仅 当 e, =e Dei H g* Sachi (mod p), g= —ai hi7; (mod 5). 

在 分 析 协 议 5. 6 之 前 ,首先 给 出 困难 关系 及 证 据 隐 藏 这 两 个 概念 。 

如 果 一 个 由 语言 L 所 确定 的 关系 Ri 满足 下 面 两 个 条 件 , 就 说 它 是 困难 的 。 

CD 实例 易 生成 : 存在 一 个 PPT 算法 G, 给 定 1" 作为 输入 ,输出 对 (zx,w) € Ri, 这 里 
Iz|=ns 

(2) 证 据 难 计算 :对 所 有 的 PPT 算法 A, 给 定 一 个 由 算法 G 随机 输出 对 (zx,w) 中 的 实 
Bil cA 计算 出 某 个 ww' 使 得 (z,w )ERi 的 概率 是 可 忽略 的 。 

在 标准 的 离散 对 数 假设 下 ,由 离散 对 数 问题 所 确立 的 关系 

Ry, = {((g,h,p,q),w) | h = g*mod p} 

就 是 一 个 困难 关系 。 

设 (P,V) 是 一 个 对 语言 上 的 证 明 / 论 证 系统 ,并 且 语 言 L 所 确定 的 关系 Ri 是 困难 的 。 
如 果 对 于 任意 PPT 验证 者 V', 它 在 与 诚实 证 明 者 交互 后 输出 实例 c 的 一 个 有 效 证 据 w 的 
概率 是 可 忽略 的 ,就 说 (P,V) 是 证 据 隐 藏 的 。 

现在 来 验证 协议 5. 6 是 证 据 隐 藏 的 。 

命题 5.2 在 离散 对 数 假设 下 ,协议 5.6 是 证 据 隐 藏 的 。 

证 明 假设 存在 一 个 PPT 验证 者 V' 在 和 诚实 的 证 明 者 交互 后 能 以 不 可 忽略 的 概率 输 
出 实例 Cg sho ,加 ,p,q) 的 某 个 证 据 w: OFEA iC (0.1178 h;— g" mod p)。 考 虑 以 下 算法 
M。 

算法 M 

输入 : (g,h,p,g)。 

随机 选择 0b< (0.1) ww, 7Z, 3E Eh; =g" mod p, $ hi=h., WUC g sho shi ,p,q) 为 公共 
输入 ,利用 w 为 证 据 扮 演 证 明 者 与 V' 交 互 。 输 出 V 的 输出 。 

观察 到 协议 5. 6 是 (完美 ) 证 据 不 可 区 分 的 。 如 果 在 真实 的 交互 中 ,验证 者 V' 在 交互 后 
能 以 不 可 忽略 的 概率 p(n) 输出 实例 (g,ho shi ,p,q) 的 某 个 证 据 w;, 则 算法 M 将 以 p(n)/2 
的 概率 输出 ww, HEF A =g" mod p( 如 果 输 出 ww 三 ws 的 概率 高 于 p(n)/2, 则 能 利用 验 
证 者 V' 来 区 分 诚实 证 明 者 在 执行 协议 5.6 时 所 用 的 证 据 ) ,这 样 就 打破 了 离散 对 数 假设 。 


5.4 常数 轮 零 知 识 协议 


一 般 来 讲 ,构造 的 零 知 识 协议 要 么 具有 较 大 的 (不 可 忽略 的 ) 合 理性 错误 ,要 么 不 是 常数 
轮 ( 如 对 汉密尔顿 图 的 3 轮 零 知识 证 明 系统 顺序 合成 后 产生 的 协议 )。 本 节 将 介绍 怎样 构造 
Xt NP 语言 的 具有 可 忽略 合理 性 错误 的 常数 轮 零 知识 协议 。 每 当 讲 到 常数 轮 时 ,自然 隐 含 
该 协议 的 合理 性 错误 是 可 忽略 的 。 

下 面 将 从 几 种 不 同 的 途径 来 构造 常数 轮 零 知识 协议 ,重点 使 用 两 个 技巧 : 一 个 是 陷 门 
承诺 方案 ; 另 一 个 是 FLS 技巧 。 整 体 上 讲 ,这些 途 径 遵 循 着 一 个 基本 框架 : 先 让 验证 者 生 
成 某 些 陷 门 信息 并 向 证 明 者 证 明 它 知道 这 些 信息 ,然后 证 明 者 向 验证 者 证 明 公 共 输 入 的 真 
实 性 。 这 里 无 论 是 证 明 者 还 是 验证 者 使 用 的 证 明 系 统 都 不 是 零 知 识 的 ,它们 也 不 需要 满足 
零 知 识 性 (有 时 满足 证 据 不 可 区 分 性 即 可 ) ,此 外 ,如 果 模 拟 器 能 得 到 验证 者 生成 的 陷 门 信 
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息 , 它 就 能 在 无 需 知道 公共 输入 的 证 据 情况 下 直接 模拟 证 明 者 的 证 明 。 

首先 来 介绍 使 用 陷 门 承诺 方案 来 构造 常数 轮 零 知识 协议 的 途径 。 

我 们 将 用 到 一 个 由 具有 特殊 诚实 验证 者 完美 零 知识 的 3og 协 议 转化 而 成 的 陷 门 承诺 方 
案 。 注 意 到 3or 协 议 本 身 也 是 协议 。 给 定 一 个 对 困难 关系 Ri 的 具有 特殊 诚实 验证 者 完 
美 零 知识 的 5 协议 ,下 面 给 出 由 此 协议 到 承诺 方案 的 一 般 转 化 方法 。 

基于 特殊 诚实 验证 者 完美 零 知 识 的 马 协 议 的 承诺 方案 如 下 。 

CD 建立 公共 参数 : 给 定 1" 作为 输入 ,接收 者 运行 PPT 算法 G, 得 到 (z,w) € Ri, 将 
工 发 送 给 承诺 者 。 

(2) 承诺 阶段 : 给 定 被 承诺 值 e, 承 诺 者 把 zx Ale 输入 对 应 3 协议 的 模拟 器 M ,得 到 一 
个 随机 副本 (a,e,x) ,把 a 作为 承诺 发 送 给 接收 者 。 

(3) 打开 阶段 : 承诺 者 把 (e,z) 发 送 给 接收 者 。 接 收 者 验证 (a,e,z) 是 否 为 一 个 可 接受 
副本 。 

由 于 模拟 器 M 的 输出 与 真实 交互 完美 不 可 区 分 ,所 以 M 产生 的 第 一 条 证 明 者 消息 
a 与 那些 由 诚实 证 明 者 产生 的 能 回答 所 有 挑战 的 第 一 条 证 明 者 消息 服从 同一 分 布 。 这 也 就 
说 明了 上 述 承 诺 方案 具有 完美 隐藏 性 。 另 一 方面 ,如 果 承 诺 者 能 把 同一 个 承诺 a 打开 成 两 
个 不 同 的 e 和 e', 则 根据 协议 的 特殊 合理 性 ,可 以 计算 出 工 的 一 个 证 据 w, 而 这 违背 了 关 
系 Ri 的 困难 性 。 

容易 把 上 述 承 诺 方案 改 成 一 个 陷 门 承诺 方案 。 在 建立 公共 参数 阶段 ,让 接收 者 生成 
(zw) ER, 后 向 承诺 者 证 明 它 知道 zx 的 一 个 证 据 凤 。 通 常 这样 的 证 明 本 身 也 要 求 是 零 知 
识 的 。 注 意 到 这 里 的 目标 是 构造 常数 轮 零 知识 协议 ,而 陷 门 承诺 方案 本 身 只 是 一 个 构成 部 
件 , 所 以 要 求 在 这 样 一 个 部 件 中 嵌入 一 个 常数 轮 零 知识 证 明 就 显得 不 合理 。 

基于 陷 门 承诺 方案 的 对 汉密尔顿 图 的 常数 轮 零 知识 论证 系统 构造 如 下 。 

验证 者 (在 陷 门 承诺 方案 中 扮演 接收 者 的 角色 ) 首 先生 成 两 个 离散 对 数 实例 (ho swo) A 
Chi sw ) 使 得 hi = g" mod p,b 二 0,1, 然 后 利用 一 个 证 据 不 可 区 分 协议 ( 即 So 协议 ) 向 证 明 
者 证 明 他 知道 w 或 rw 。 在 第 二 阶段 ,证 明 者 利用 对 汉密尔顿 图 的 3 轮 证 明 系统 (协议 5. 2) 
向 验证 者 证 明 图 的 汉密尔顿 图 ,在 这 个 证 明 中 ,证 明 者 所 用 的 承诺 方案 是 由 协议 5. 6 按 上 述 
的 方法 转化 而 来 的 承诺 方案 。 

协议 5.7 

公共 输入 : 汉密尔顿 图 G 一 (V,E) .|V| n. 

P 的 私有 输入 : AG 的 汉密尔顿 图 互 。 

第 一 阶段 : 验证 者 V 随机 选择 素数 p,q (81$ p —2q--1.|q| —.. BB SLE Eus -—Z,. 
w Z, fH b«—(0.1), H4 ho =g" mod p fI A, =g"! mod p, V RIŽ (g.h sh pq) WA 
对 此 实例 的 30g 协议 (协议 5.6) 向 证 明 者 了 证 明 它 知道 wo 或 w 。 

第 二 阶段 : 证 明 者 了 P 调 用 协议 5. 2 向 验证 者 V 证 明 图 G 是 汉密尔顿 图 。 在 调用 协议 
5.2 时 ,证 明 者 在 第 一 步 使 用 以 下 方式 产生 的 承诺 方案 : @ 将 协议 5. 6 的 挑战 e 的 长 度 限制 
为 1b( 因 为 协议 5. 2 中 证 明 者 逐 比特 进行 承诺 ); @ 将 修改 后 的 协议 5. 6 按照 上 述 的 方式 转 
化 成 一 个 比特 承诺 方案 。 

注 : 

(1) 在 第 一 阶段 ,验证 者 需要 选择 两 个 离散 对 数 实 例 , 而 不 是 一 个 。 这 样 做 是 必需 的 ， 
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否则 将 无 法 证 明 整 个 系统 的 合理 性 。 这 是 因为 用 来 证 明 合 理性 的 归 约 算法 ( 它 扮 演 验证 者 
的 角色 ) 需 要 利用 欺骗 证 明 者 的 能 力 来 打破 离散 对 数 假设 ,但 利用 欺骗 证 明 者 的 能 力 反 过 来 
也 需要 这 个 归 约 算法 知道 一 个 ws。 在 这 里 , 归 约 算法 可 以 生成 两 个 离散 对 数 实例 ,拥有 其 
中 一 个 ws, 它 仍 有 机 会 利用 欺骗 证 明 者 的 能 力 来 得 到 另 一 个 实例 的 离散 对 数 , 进 而 打破 离 
散 对 数 假设 ,证 明 合理 。 

(2) 可 以 合理 安排 协议 5.7 的 消息 调度 将 轮 数 降低 至 4 轮 。 如 将 第 二 阶段 协议 5.2 的 
第 一 轮 证 明 者 消息 和 第 一 阶段 协议 5.6 的 第 二 轮 消息 合并 为 整个 大 协议 的 第 二 轮 消息 ,并 
将 第 一 阶段 协议 5. 6 的 第 三 轮 消息 和 第 二 阶段 协议 5.2 的 第 二 轮 消息 合并 为 整个 大 协议 的 
第 三 轮 消息 。 

现在 来 证 明 以 下 定理 。 

定理 5.6 ”如果 离 散 对 数 假设 成 立 , 则 协议 5. 7 为 完美 零 知识 论证 系统 。 

证 明 ”完全 性 显然 。 下 面 证 合理 性 。 

把 协议 5. 7 的 合理 性 归 约 到 离散 对 数 假设 上 。 

假设 公共 输入 图 G 不 是 汉密尔顿 图 ,并 且 存 在 一 个 PPT 欺骗 证 明 者 P^ 使 得 验证 者 
V 以 不 可 忽略 的 概率 p 接受 。 考 虑 以 下 离散 对 数 算法 。 

算法 了 

输入 : (g,h,p,g)。 

(1) 随机 选择 b—(0,1) urZ, TTE hy — g^ mod p. Eh, —h. AXE Gino hy pq) FFA 
用 w 作为 证 据 调 用 协议 5.6 向 证 明 者 P^ 证 明 它 知道 w 。 

(2) 当 接收 到 第 二 阶段 协议 5. 2 的 最 后 一 条 证 明 者 消息 =, 如 果 它 不 是 一 个 正确 的 回 
答 , 则 停机 输出 上 ;如 果 它 是 一 个 正确 的 回答 , 设 对 应 的 协议 5. 2 的 可 接受 副本 为 (a,e,z)， 
重新 发 送 一 个 新 的 随机 挑战 。 ,e 天 e, 直 至 得 到 另 一 个 可 接受 副本 (ao,e ,x ) 。 

(3) 找到 消息 e( 它 由 半 个 比特 承诺 矩阵 组 成 ) 中 某 个 位 置 上 的 承诺 , 它 在 最 后 > 与 “中 
被 打开 成 不 同 的 比特 (注意 到 当 图 G 不 是 汉密尔顿 图 时 ,必然 存在 这 样 的 位 置 ,否则 我 们 能 
由 (ase,z) 与 (a,e’,z ) 计 算出 G 的 汉密尔顿 图 ) 。 设 这 个 位 置 的 承诺 为 (ao ,ai ) (协议 5.6 的 
第 一 条 消息 ) , 它 在 z 中 被 打开 成 0, 其 打开 形式 为 (eo e zz HA 0— e Qe EE IP 
打开 成 1, 这 个 打开 形式 为 (ei ,ei zz AA 1 一 e0@ei 。 从 这 两 个 不 同 的 打开 中 找到 两 个 协 
议 5.4( 对 离散 对 数 的 王 协 议 ,注意 到 协议 5. 6 是 协议 5. 4 的 异 或 合成 ) 的 可 接受 副本 ， 
(a, » e 52.) ACG. eL 62.) ee, 5 C=O BELA ho BR hi 的 离散 对 数 ,并 输出 。 

如 果 P' 使 得 验证 者 V 接受 的 概率 p 是 不 可 忽略 的 , 则 读者 可 以 验证 上 述 算 法 将 在 期 望 
多 项 式 时 间 内 停机 输出 。 此 外 ,由 于 G 不 是 汉密尔顿 图 ,算法 B 将 以 概率 p 输出 一 个 (ho 或 
h 的 ) 离 散 对 数 。 并 且 , 注 意 到 第 一 阶段 协议 是 证 据 完美 不 可 区 分 的 ,可 知 算法 B 将 以 概率 


各 输出 h 的 离散 对 数 。 这 就 打破 了 离散 对 数 假设 。 


完美 零 知 识 性 。 构 造 一 个 模拟 器 来 证 明 完美 零 知 识 性 。 基 本 想法 是 让 模拟 器 在 执行 协 
议 第 一 阶段 时 提取 出 ho 或 hh 的 离散 对 数 ,然后 完全 按照 诚实 证 明 者 的 策略 来 执行 第 二 阶 
段子 协议 (协议 5. 2) 的 第 一 轮 证 明 者 消息 ( 设 为 5) , 当 收 到 这 个 子 协议 的 挑战 , 它 利用 h 或 
hi 的 离散 对 数 把 上 中 的 承诺 打开 成 能 回答 这 一 挑战 的 值 (注意 到 它 在 产生 消息 5 时 使 用 的 是 
陷 门 承诺 方案 ) ,产生 一 个 可 接受 的 副本 。 
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模拟 器 S 

D 为 V 选 择 随 机 带 ~。 

(2) 在 第 一 阶段 子 协议 中 执行 诚实 证 明 者 策略 ,发 送 随机 挑战 e。 

(3) Æ V 停机 或 接收 到 的 第 一 阶段 协议 5. 6 的 最 后 一 条 证 明 者 消息 = 不 是 一 个 正确 的 
回答 , 则 停机 输出 V^ 的 输出 ;如 果 它 是 一 个 正确 的 回答 , 设 对 应 的 协议 5. 7 的 可 接受 副本 为 
Ka ses 2) ,重新 发 送 一 个 新 的 随机 挑战 e ,e' 隆 e, 直 至 得 到 另 一 个 可 接受 副本 (a,e ,x ) 。 

CD. 从 上 面 两 个 副本 中 计算 出 ho 或 a 的 离散 对 数 。 然 后 完全 按照 诚实 证 明 者 的 策略 
来 执行 第 二 阶段 子 协议 (协议 5.2) 的 第 一 轮 证 明 者 消息 a&, 当 收 到 这 个 子 协议 的 挑战 , 它 利 
FA ho 或 ha 的 离散 对 数 把 z 中 的 承诺 打开 成 能 回答 这 一 挑战 的 值 ,发 送 第 二 阶段 子 协议 的 最 
后 一 轮 消息 。 

(5) 输出 VV 的 输出 。 

设 V' 在 第 (3) 步 正确 回答 第 一 阶段 子 协议 挑战 的 概率 为 p, 模 拟 器 S 单 次 执行 协议 5. 7 
的 时 间 为 多 项 式 gq(n), 则 S 的 期 望 运行 时 间 为 


bam) + (p>) np. — p)™ )an) = poly(n) 
ES 


分 别 记 "在 真实 交互 和 模拟 中 正确 回答 第 一 阶段 子 协议 挑战 这 一 事件 为 已 和 Esim o 
观察 到 
Pr[E 4] = Pr[ES] = p 
显然 ,对 于 任意 可 能 的 V AIHA t gti 
Pr[S = 8 | Esm] = PrEP, V’) (G) = $ | Ena] 
注意 到 在 第 二 阶段 子 协议 执行 中 ,证 明 者 所 使 用 的 陷 门 承诺 方案 是 完美 隐藏 的 ,所 以 
Pr[S = £ | Ena] = PrL(P,V’)(G) = f | Exim] 
由 上 述 讨 论 可 知 ,S 的 输出 和 在 真实 交互 中 的 输出 服从 同一 分 布 。 

第 二 种 构造 途径 利用 优雅 而 简洁 的 FLS 技巧 。 与 第 一 种 途径 相 比 , 它 让 模拟 器 更 加 直 
接地 利用 第 一 阶段 得 到 的 陷 门 信息 r: 在 第 二 阶段 证 明 中 ,证 明 者 利用 证 据 不 可 区 分 证 明 系 
统 证 明 以 下 断言 : 

“我 知道 图 G 的 一 个 汉密尔顿 图 或 陷 门 信息 r” 

其 具体 描述 如 下 。 

协议 5.8 

公共 输入 : 汉密尔顿 图 G— (V E) .|V| n. 

P 的 私有 输入 : 图 G 的 汉密尔顿 圈 互 。 

第 一 阶段 : 验证 者 V 选择 一 个 单 向 置换 f ,随机 选择 ro (0.1)" 2 (00,1), HH 
yo f Gr MR yi =f C21). AR Cf ,yo，y1), 调 用 一 个 证 据 不 可 区 分 证 明 系 统 向 证 明 者 证 
明 它 知道 ze 或 ri 。 

第 二 阶段 : 证 明 者 了 调用 一 个 证 据 不 可 区 分 证 明 系统 向 验证 者 V 证 明 他 知道 图 G 的 
汉密尔顿 圈 互 或 ru hx. 

这 里 有 两 种 方式 来 实现 协议 5. 8 中 证 据 不 可 区 分 证 明 系 统 。 第 一 种 就 是 前 面 介绍 的 
Bar 协议 。 第 二 种 方式 是 先 把 所 要 证 明 的 “或 ”断言 转化 成 一 个 汉密尔顿 图 G ,然后 调用 协 
议 5.2 来 证 明 图 G' 是 一 个 汉密尔顿 图 。 
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可 以 用 类 似 于 分 析 协 议 5. 7 的 方式 来 分 析 协 议 5. 8。 读 者 可 以 证 明 协议 5. 8 也 是 一 个 
零 知识 论证 系统 。 

定理 5.7 如 果 存 在 单 向 置换 , 则 对 任意 NP 语言 存在 4 轮 零 知识 论证 系统 。 

上 面 两 种 方式 构造 的 协议 都 是 论证 系统 : 如 果 人 允许 敌意 的 证 明 者 具有 无 限 计算 能 力 ， 
它 就 能 计算 出 这 些 协议 中 验证 者 所 产生 的 陷 门 信息 ,进而 能 使 诚实 验证 者 接受 一 个 非 汉 密 
尔 顿 图 。 

下 面 给 出 一 个 5 轮 的 计算 零 知 识 证 明 系 统 。 它 的 一 个 基本 想法 是 让 验证 者 把 它 在 
3 轮 证 据 不 可 区 分 证 明 系 统 ( 如 协议 5. 2) 中 的 挑战 预先 承诺 起 来 。 这 样 做 的 好 处 就 是 当 模 
拟 器 看 到 这 个 挑战 后 , 它 能 按照 这 个 挑战 重新 生成 这 个 3 轮子 协议 的 第 一 轮 证 明 者 消息 ,而 
不 必 担 心 生成 新 的 消息 后 验证 者 会 改变 挑战 (这 由 承诺 方案 的 计算 绑 定 性 所 保证 ) 。 

协议 5.9 

公共 输入 : 汉密尔顿 图 G==(V,E),|V|==n。 

P 卫 的 私有 输入 : AG 的 汉密尔顿 圈 互 。 

第 一 阶段 : 验证 者 和 证 明 者 交互 产生 一 个 完美 隐藏 的 承诺 方案 Com。 验 证 者 选择 一 个 
随机 数 r 来 承诺 挑战 e,c 二 Com(e,r)。 发 送 c. 

第 二 阶段 : 证 明 者 了 调用 协议 5.2 向 验证 者 V 证 明 他 知道 图 G 的 汉密尔顿 圈 H. E 
这 个 执行 中 , 当 验 证 者 需要 发 送 挑战 时 , 它 发 送 (e,r)。 证 明 者 验证 挑战 e 是 否 是 承诺 c 的 
一 个 有 效 的 承诺 值 ,如 果 是 , 则 回答 挑战 e; 如 果 不 是 , 则 停机 。 

对 这 个 协议 的 分 析 在 一 些 标准 的 教科 书 中 可 以 找到 。 注 意 到 在 无 爪 (Claw-free) 单 向 置换 
存在 的 假设 下 可 以 构造 2 轮 的 完美 隐藏 的 承诺 方案 ,于 是 有 以 下 定理 。 

定理 5.8 如 果 存 在 无 爪 单 向 置换 , 则 对 任意 NP 语言 存在 5 轮 计算 零 知识 证 明 系 统 。 


5.5 小 结 


零 知识 证 明理 论 与 方法 在 密码 算法 和 安全 协议 的 设计 与 分 析 中 占有 十 分 重要 的 地 位 ， 
特别 是 在 安全 协议 的 设计 与 分 析 中 尤为 重要 。 本 章 较 系统 地 介绍 了 零 知识 证 明理 论 与 方法 
的 一 些 基本 知识 。 构 造 了 对 NP 语言 的 零 知识 证 明 /论证 系统 ,并 介绍 了 零 知 识 协议 的 一 些 
有 着 广泛 应 用 的 变 体 , 如 证 据 不 可 区 分 协议 21 Sigma 协议 Bo .证据 隐 藏 协议 人 以 及 一 些 
重要 的 技巧 。 另 外 还 讨论 了 怎样 去 掉 交 互 性 来 构造 非 交互 零 知 识 证 明 系 统 。 

由 于 篇 幅 的 原因 ,并 没有 涉及 一 些 近年 发 展 起 来 的 高 级 课题 ,如 并 发 合成 ,可 重 置 零 知 
识 、 普 适合 成 等 。 对 于 非 交 互 零 知识 ,也 没有 介绍 在 使 用 单个 公共 参考 串 情形 下 构造 对 多 个 
定理 的 零 知 识 证 明 5 。 另 外 ,怎样 构造 带 有 多 项 式 时 间 证 明 者 的 非 交 互 零 知识 证 明 也 是 一 
个 非常 有 挑战 性 的 问题 ,如 目前 还 不 知道 在 只 假设 单 向 函数 存在 的 条 件 下 如 何 来 构造 带 有 
多 项 式 时 间 证 明 者 的 非 交 互 零 知识 证 明 系 统 。 非 交互 的 信息论 意义 下 安全 的 可 验证 的 秘 
密 共 享 方案 的 研究 可 参阅 文献 L[33] 。 

关于 零 知 识 证 明理 论 与 方法 的 一 些 发 展 和 应 用 在 各 章节 中 已 作 了 一 些 介绍 , 感 兴趣 的 
读者 可 在 计算 机 科学 基础 研讨 会 (Foundation Of Computer Science (FOCS) Conference) , 
计算 理论 专题 研讨 会 (Symposium on the Theory Of Computing (STOC) conference) 、 各 种 
密码 会 议 ( 如 Crypto conference, Eurocrypt conference 等 ) 的 论文 集中 找到 很 多 有 关 这 个 主 
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题 的 论文 。 


关于 零 知识 证 明理 论 与 方法 的 综述 性 文章 和 参考 书 可 参阅 文献 [34] 一 [38]。 近 年 来 ， 


我 国学 者 在 零 知 识 证 明理 论 研究 方面 也 取得 了 一 系列 国际 领先 的 研究 成 果 ”~ ,如 邓 禾 博 
士 在 双重 可 重 置 猜想 证 明 方面 的 研究 成 果 "” 。 本 章 在 写作 过 程 中 得 到 了 邓 铬 副 研 究 员 的 
大 力 支持 ,他 提供 了 大 量 的 相关 材料 ,作者 在 此 表示 衷心 的 感谢 。 
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第 6 章 REBAHRBRAAE 


本 章 主要 介绍 安全 多 方 计算 (也 称 多 方 安 全 计算 ) 的 一 般 理 论 与 方法 , 即 安全 多 方 计算 
的 一 般 性 结论 ,而 不 是 解决 具体 问题 的 协议 。 重 点 突出 一 般 性 研究 到 实践 的 重要 性 ,这 主要 
体现 在 以 下 4 个 方面 : 一 是 刻画 了 分 布 式 计算 环境 中 的 一 些 最 基本 的 安全 问题 ;二 是 从 原 
理 上 明确 了 在 既定 的 安全 模型 下 哪些 计算 功能 是 可 以 安全 实现 的 ,哪些 是 不 可 行 的 ;三 是 发 
展 了 设计 分 布 式 安全 协议 的 一 般 性 方法 和 技巧 ;四 是 给 出 了 设计 可 应 用 于 实际 系统 中 的 某 
些 具体 的 方案 和 模块 。 

功能 函数 是 安全 多 方 计算 中 的 一 个 重要 概念 。 一 个 m 元 功能 函数 是 指 将 m 个 输入 映 
射 到 m 个 输出 的 随机 过 程 。 将 m. 个 输入 映射 到 xm 个 输出 的 函数 是 功能 函数 的 特殊 情形 ， 
也 被 称 为 确定 性 功能 函数 。 换 句 话 讲 , 功 能 函数 是 普通 函数 的 随机 化 推广 。 可 将 功能 函数 
下 看 作 相应 函数 构成 空间 上 的 随机 变量 ( 即 下 等 于 ”的 概率 是 pO ,也 可 认为 功能 函数 下 
随机 选择 一 个 串 JE ELUA F' Gears i ,zx,) 作 为 输出 ,其 中 下 是 将 m 十 1 个 输入 映射 到 m 个 
输出 的 函数 。 

一 般 地 ,将 安全 协议 看 做 是 将 m 个 输入 映射 为 m 个 输出 的 随机 过 程 。 安 全 多 方 计算 的 
定义 方式 可 以 回溯 到 零 知 识 证 明和 语义 安全 的 定义 方式 , 即 称 一 个 协议 是 安全 的 ,如果 敌 手 
攻击 实际 协议 所 得 与 攻击 理想 模型 所 得 相当 。 此 处 理想 模型 是 指 存在 一 个 所 有 参与 方 共同 
信任 的 可 信 方 ,在 可 信 方 的 帮助 下 计算 出 协议 的 功能 函数 。 具 体 执 行 过 程 如 下 : 每 个 参与 
方 将 自己 的 输入 传输 给 可 信 方 ,可 信 方 计算 功能 函数 ,将 计算 结果 返回 给 相应 的 参与 方 。 易 
见 ,理想 模型 是 平凡 的 安全 协议 ,那么 敌手 攻击 实际 协议 所 得 与 攻击 理想 模型 所 得 相当 ,而 
理想 模型 是 平凡 的 安全 协议 ,攻击 这 样 的 平凡 协议 无 所 得 ,从 而 攻击 实际 协议 也 无 所 得 ,这 
样 原来 的 协议 就 是 安全 的 。 

下 面 介绍 定义 安全 多 方 计算 安全 模型 所 需要 考虑 的 一 些 参数 。 

CL) 初始 假设 。 除 非特 别 声 明 ,本 章 没有 初始 假设 。 在 某 些 情况 下 假设 每 个 参与 方 持 
有 其 他 参与 方 的 某 些 信息 ,如 公 钥 等 。 

(2) 通信 信道 。 本 章 关 于 信道 的 标准 假设 是 敌手 可 以 搭 线 窍 听 所 有 的 通信 信道 。 

(3) 计算 能 力 限制 。 如 无 特别 声明 ,本 章 讨论 计算 能 力 有 界 即 概率 多 项 式 时 间 敌 手 。 

(4) 敌手 攻击 能 力 。 根 据 敌 手 人 侵 参 与 方 的 方式 ,可 分 为 自 适应 和 非 自 适应 两 种 。 自 
适应 敌手 在 协议 执行 过 程 中 ,根据 当前 收集 到 的 信息 决定 入 侵 哪 个 参与 方 ; 非 自 适应 敌手 在 
协议 执行 之 前 确定 好 要 入 侵 的 参与 方 集合 。 显 然 , 自 适应 是 比 非 自 适应 更 为 一 般 的 攻击 模 
型 。 另 外 ,一 个 限制 敌手 攻击 能 力 的 参数 是 敌手 控制 参与 方 的 方式 ,分 成 恶意 和 半 诚 实 两 
种 。 恶 意 敌 手 不 遵守 协议 指令 , 半 诚 实 敌 手 遵守 协议 指令 ,只 是 收集 并 且 记录 信息 。 

(5) 安全 性 定义 的 限制 。 本 章 讨论 的 协议 是 “不 公平 ”的 , 即 不 诚实 方 可 以 中 断 协议 执 
行 ,这 样 某 些 诚实 方 得 不 到 期 望 的 输出 ,但 是 可 以 探测 出 协议 被 不 诚实 方 中 断 。 称 这 种 安全 
性 为 允许 中 止 的 安全 性 。 

本 章 考 虑 以 下 的 协议 运行 环境 即 安全 模型 : 不 假设 保密 信道 的 存在 ,敌手 攻击 能 力 是 
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非 自 适应 的 、 恶 意 的 ,并 且 是 计算 有 界 的 。 
6.1 安全 两 方 计算 


安全 两 方 计算 是 安全 多 方 计算 的 一 类 重要 的 特殊 形式 。 定 义 安全 两 方 计算 要 用 到 计算 
不 可 区 分 的 概念 ,前 面 已 经 将 区 分 器 视 作 概 率 多 项 式 时 间 算 法 或 多 项 式 规模 电路 族 给 出 了 
计算 不 可 区 分 的 定义 ,这 里 将 区 分 器 视 作 多 项 式 规 模 电路 族 来 回顾 一 下 不 可 区 分 的 定义 。 
把 两 个 随机 变量 的 可 数 集 XX 二 {X。}。es 和 YY 二 {Y。}wes 称 为 计算 不 可 区 分 的 ,如 果 对 于 任意 
多 项 式 规模 电路 族 {C, ) new ,任意 正 多 项 式 pC * ) ,对 于 充分 大 的 ,每 一 个 wE SN {0,1)"， 
都 有 
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6.1.1 半 诚 实 模型 中 的 安全 两 方 计算 


半 诚 实 模型 是 指 参与 协议 的 双方 中 有 一 方 是 敌手 , 另 一 方 是 诚实 方 。 此 处 的 敌手 只 能 
施行 半 诚 实 攻击 , 即 完全 遵守 协议 的 指令 ,只 不 过 会 记录 协议 运行 中 的 信息 和 计算 结果 。 半 
诚实 模型 是 向 恶意 模型 的 过 滤 ,为 最 终 解 决 恶 意 模 型 中 的 安全 两 方 计算 问题 提供 思路 和 
基础 。 

本 节 提 出 半 诚 实 模型 中 安全 性 的 两 个 等 价 定义 。 第 一 种 定义 方式 是 半 诚 实 模型 特有 的 
一 种 简单 方式 ,第 二 种 定义 方式 是 安全 多 方 计算 所 采用 的 一 般 方式 。 这 两 种 定义 方式 都 基 
于 模拟 的 方法 。 按 照 第 一 种 定义 方式 定义 的 两 方 安全 计算 也 称 为 两 方 保密 计算 。 称 一 个 两 
方 协议 荆 可 计算 功能 函数 六 ,如 果 协 议 关 于 输入 对 (z,y) 的 输出 分 布 与 功能 函数 f(z,y) 的 
输出 分 布 相等 。 注 意 此 时 只 考虑 参与 协议 的 双方 都 是 诚实 方 的 情形 ,协议 的 输出 分 布 即 协 
议 计算 功能 函数 还 没有 涉及 安全 性 。 

定义 6.1( 两 方 保密 计算 ) E 200,1) 7 X (0,1) 7 (0,1) 7 X (0,1) 是 一 个 功能 函 
BC fi Gr 0 8I f(x,y) 分 别 是 f(z,y) 的 第 一 个 和 第 二 个 分 量 。 荆 是 计算 了 的 两 方 协 议 。 
定义 第 一 方 执行 协议 过 程 中 的 视图 (也 称 观察 ) 为 (zr ,mma m m0 EA View! Ge. y) ,其 中 
r 表示 第 一 方 的 内 部 毛 币 结果 ,m; 表示 第 一 方 在 协议 执行 过 程 中 收 到 的 第 i 个 消息 。 同 样 
地 ,第 二 方 的 视图 为 (y,r m n) , 记 为 Viewg(z,y)。 第 一 方 执行 协议 五 之 后 的 输出 记 
Jy Output? (2. y), 第 二 方 的 输出 记 为 Output Cz,y), 因 此 ,协议 的 整体 输出 记 为 
Outputz(Cz,y) 一 (OutputgCzyy),Outputg(Cz,y))。 当 功能 函数 f 是 确定 性 函数 时 , 称 协议 
工 保 密 计 算 ,如 果 存 在 概率 多 项 式 时 间 算 法 S, 和 S ,使 得 

(Sy Ge fi G3) asec? = (View! Gs )), etn (6-1) 
(Si Gr fala) nsew = (View! Geo y)) nyeto (6-2) 


为 简便 起 见 , 这 里 假定 |z| 一 |y| ,其 中 三 表示 多 项 式 规模 电路 族 计算 不 可 区 分 。 
一 般 地 , 称 协议 区 保密 计算 ,如 果 存 在 概率 多 项 式 时 间 算 法 S, 和 S; ,使 得 


(CS, Ges fi Ges flay seo: = (View Casy), Output" Gy) sewn. (6-3) 
(SO fo Ge 30 «fes hese? = ((Viewl (x,y), Output™(2.y))}eyeron? (6-4) 
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这 里 View? (x,y). View? (x, y) Output? (x, y) Al Output? Cr. y) EAA) BE BLZE Æ » BEL 
变量 Output? Cr, y) Hi View! Cr. 5) 76 4 AE. TEA PAY ET RT Fee BOLE HZ [a] 
相关 性 保持 的 证 明 至 关 重 要 。 

对 于 确定 性 功能 函数 情形 ,等 式 (6-1) 说 明 ,每 个 参与 方 的 视图 仅仅 根据 输入 和 输出 就 
可 以 模拟 出 来 。 因 为 协议 运行 过 程 中 每 个 参与 方 收 到 的 消息 都 包含 在 视图 中 ,这 说 明 参 与 
方 通过 协议 交互 所 得 蕴涵 于 他 自己 的 输出 当中 ,也 就 是 说 ,协议 的 交互 过 程 ( 除 了 输出 中 蕴 
涵 的 信息 之 外 ) 没 有 泄露 更 多 的 信息 ,因而 协议 是 安全 的 。 另 外 ,注意 到 等 式 (6-1) 与 等 
式 (6-3) 应 用 于 确定 性 函数 时 相同 ,因为 当 功能 函数 是 确定 性 函数 时 ,对 于 每 个 输入 对 
Cr 3) MRA Output" Cr 32 — frs y). 

相对 于 确定 性 函数 ,在 等 式 (6-3) 和 式 (6-4) 中 ,考虑 协议 计算 随机 的 功能 函数 时 ,增加 
了 Outpute(Cz,y)。 此 时 协议 瑟 计 算 的 是 随机 功能 函数 ,等 式 Output" Ge, y) = f Ges y) AR Db JR 
立 , 因 为 等 式 的 两 边 不 再 是 具体 的 数值 ,而 是 两 个 随机 变量 。 实 际 上 ,这 两 个 随机 变量 要 求 
分 布 相等 ,但 是 分 布 相等 并 不 能 保证 式 (6-1) 能 够 推出 式 (6-3) ,也 就 是 说 ,对 于 随机 功能 函 
数 来 说 , 仅 满足 等 式 (6-1) 不 能 保证 协议 可 保密 计算 功能 函数 ,下 面 举 一 个 反例 。 

例 6.1 功能 函数 fA 1b Ga) Hr 210.1)" 上 均匀 分 布 。 其 中 1" 是 安全 参 
RA 表示 空 串 。 构 造 两 方 协议 I: Pi (第 一 方 ) 均 匀 选 取 r€ {0,1)", 将 7 RiP, R 
方 ) P, 输出 7,P; 不 输出 。 显 然 ,协议 也 可 计算 功能 函数 f, 但 是 不 能 保密 计算 f, 这 是 因 
为 根据 功能 函数 f,P; 不 知道 P 的 输出 ,而 协议 工 rp. P; 获知 Pi 的 输出 .可 以 构造 出 模拟 
算法 SA") S (1") 均 匀 选 择 rE{0,1)" 并 且 输 出 >, 易 见 S:(1") 满 足 等 式 (6-1) 但 是 不 能 满 
足 等 式 (6-3) 。 关 键 点 在 于 ,等 式 (6-3) 和 式 (6-4) 刻 画 了 一 个 参与 方 的 输出 与 对 方 视图 之 
间 的 关系 ,并 且 要 求 这 种 关系 也 要 被 模拟 算法 保持 , 即 模拟 算法 不 仅 要 模拟 自身 的 视图 ,也 
要 将 自身 视图 与 对 方 输出 的 关系 模拟 出 来 ,因为 协议 是 个 交互 过 程 ,将 一 方 的 视图 与 对 方 的 
输出 割裂 开 来 ,而 不 是 作为 一 个 整体 考虑 ,从 安全 性 角度 来 看 是 不 完备 的 。 

下 面 定义 6. 2 是 半 诚 实 模型 中 的 安全 两 方 计 算 的 另外 一 种 定义 方式 ,采用 实际 协议 / 理 
想 模型 这 样 的 基本 框架 。 理 想 模 型 是 由 两 个 参与 方 和 可 信 第 三 方 组 成 ,计算 由 可 信 第 三 方 
完成 。 一 个 协议 关于 某 种 特定 敌手 行为 称 为 是 安全 的 ,如 果 这 种 敌手 攻击 实际 协议 所 得 可 
以 通过 攻击 相应 的 理想 模型 所 模拟 。 这 里 模拟 的 概念 指 的 是 对 两 个 参与 方 的 联合 视图 的 
模拟 。 

定义 6.2( 半 诚实 模型 中 的 安全 性 ) Bf: {0.1}* X (0.1) (0.1) X (0,1) B-* 
功能 函数 ,fi1(z,y) 和 户 (z,y) 分 别 是 f(z,y) 的 第 一 个 和 第 二 个 分 量 。 荆 是 计算 f 的 两 方 
协议 。 令 B=(B, ,B;, ) 是 一 对 概率 多 项 式 时 间 算 法 ,表示 理想 模型 中 两 个 参与 方 采用 的 算 
法 。 算 法 对 二 (Bl,B,) 称 为 可 容许 的 ,如 果 至 少 存在 一 个 B;, 使 得 B; Cu, v, z) =v, Hh 
u 表示 B: 的 本 地 输入 ,vv 表示 B: 的 本 地 输出 ,= 表示 B: 的 辅助 输入 。 理 想 模 型 中 f 关于 
B=(B, ,B:) 的 联合 执行 记 为 ldealj.5cs Ges y) ,是 以 下 的 三 元 组 CFCz,y),B (as fi Gn 3222. 
B:(y, 户 (zy),z))( 理 想 模型 中 至 少 存在 一 个 诚实 方 ,将 可 信 方 发 送 来 的 输出 直接 作为 输 
出 )。 令 A=(A1,A;) 是 一 对 概率 多 项 式 时 间 算法 ,表示 实际 协议 中 两 个 参与 方 采用 的 算 
法 。 算 法 对 A 二 (Ai1,A;) 称 为 可 容许 的 ,如 果 至 少 存在 一 个 i, 对 每 一 个 view 和 aux, A 
A, (view, aux) 二 out, 其 中 out 表示 视图 view 中 蕴涵 的 输出 。 实 际 协议 中 荆 关 于 A= (CA LAD 
的 联合 执行 记 为 Realr,rce Gr») ,是 以 下 的 三 元 组 (Output? Cr, y), Ai (View? (x,y),z)， 


LS Lid i 理论 与 实践 


A: (View? Gr» y) ,x))。 协 议 耳 称 为 在 半 诚 实 模型 中 安全 计算 功能 函数 / ,如果 对 于 实际 协 
议 中 每 对 可 容许 概率 多 项 式 时 间 算法 A= CA AD ,都 存在 理想 模型 中 可 容许 算法 对 B— 
(By B) ,使 得 
(Ideal, sc) (15.9) } nye = {Realna (zyy)} -vc 
其 中 z,y,zE {0,1}" ,满足 lz| 王 |y| 且 |z| 一 poly(|z|)。 
容易 证 明 上 述 两 个 定义 是 等 价 的 ,具体 证 明 过 程 请 参阅 文献 [1]。 由 于 这 两 个 定义 的 等 
价 性 ,如 果 所 要 计算 的 功能 函数 是 确定 性 的 , 则 采用 形式 简单 的 定义 6. 1。 


6.1.2 恶意 模型 中 的 安全 两 方 计算 


恶意 模型 是 指 敌 手 的 攻击 行为 是 恶意 的 ,可 以 完全 不 遵守 协议 指令 运行 。 对 于 恶意 敌 
手 , 有 以 下 3 种 情形 无 论 采 用 何 种 协议 都 不 可 避免 。 

(1) 参与 方 拒绝 参与 协议 运行 。 

(2) 参与 方 以 替换 过 的 输入 参与 协议 运行 。 

(3) 参与 方 中 断 协议 运行 。 

既然 上 述 3 种 行为 不 可 避免 ,那么 若 敌 手 只 能 施行 这 3 种 攻击 之 一 (其 他 的 攻击 不 能 成 
功 ) 就 可 以 认为 这 样 的 协议 是 安全 的 。 按 照 实 际 协议 /理想 模型 (也 称 现实 模型 /理想 模型 ) 
的 定义 方式 ,关于 恶意 敌手 的 理想 模型 中 要 对 上 述 3 种 行为 做 相应 的 约定 。 

关于 恶意 敌手 的 理想 模型 。 实 际 协议 中 不 可 避免 的 3 种 恶意 行为 ,相应 地 在 理想 模型 
中 要 允许 出 现 ,也 就 是 说 ,即使 有 可 信 第 三 方 的 存在 ,也 不 能 避免 某 些 恶意 行为 的 发 生 。 具 
体 地 讲 ,理想 模型 允许 参与 方 不 参与 协议 运行 ,允许 参与 方 蔡 换 输入 ,显然 可 信 方 不 能 阻止 
这 两 种 行为 。 另 外 ,赋予 第 一 方 “ 叫 停 ” 可 信 方 的 权利 , 即 第 一 方 收 到 自己 的 输入 之 后 ,在 可 
信 方 发 送 输 出 给 第 二 方 之 前 叫 停 可 信 方 ,这 样 ,第 一 方 获 得 输出 ,而 第 二 方 没 有 得 到 输出 。 

定义 6.3( 关 于 恶意 敌手 的 理想 模型 ) UE f:{0,1)" X{0,1)" 一 {0,1)" X(0,1)* 是 一 个 
功能 函数 , 广 (z,y) 和 户 (z,y) 分 别 是 f(z,y) 的 第 一 个 和 第 二 个 分 量 。 令 B 二 (Bi ,B: ) 是 一 
对 概率 多 项 式 时 间 算 法 ,表示 理想 模型 中 两 个 参与 方 采用 的 算法 。 算 法 对 BB 二 (Bi,B,) 称 
为 可 容许 的 ,如 果 至 少 存在 一 个 诚实 方 B; 818 Bi Cu zr) =u, Bi Qu zr, v) =v, Pu 
示 B; 的 本 地 输入 ,v 表示 B: 的 本 地 输出 ,= 表示 B; 的 辅助 输入 。 理 想 模型 中 f 关于 
B=(Bi,B,) 的 联合 执行 记 为 Idealj.scs (rsy) HAFEN: 

D 第 一 方 是 诚实 方 , 则 Idealrae Cr 30 98 Cfi Ge y 9 Bily zir, fe (x,y) JER 
y —BiCyznD 

(2) 第 二 方 是 诚实 方 , 则 Ideal, sc, Cr 5028 

(B: lzor filz sy) D: 1) XB Gsm filz sy) =L 
GyGozr.fiiz.fG.» XBiGrnfü.»zL 

其 中 zx =Bi (zx,z,7)。 

定义 6.4( 关 于 恶意 敌手 的 实际 协议 ) Ub f 是 定义 6.3 中 的 功能 函数 , 工 是 计算 了 的 
两 方 协议 。 令 A 二 (Ai,As) 是 一 对 概率 多 项 式 时 间 算法 ,表示 实际 协议 中 两 个 参与 方 采 用 
的 算法 。 算 法 对 A 二 (Ai,A;) 称 为 可 容许 的 , 如果 至 少 存在 一 个 诚实 方 A;。 实 际 协议 中 
卫 关 于 A 二 (Ai,As) 的 联合 执行 记 为 Realr,reo (x+y) ,定义 为 根据 A1(z,z) 和 As(y,z) 交 互 
产生 的 输出 对 。 


| 
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定义 6.5 GERE BUB B de S HO 设 功能 函数 AOL MEY 6. 4, HT KHER 
意 模型 中 安全 计算 功能 函数 f, 如 果 对 于 实际 协议 中 每 对 可 容许 概率 多 项 式 时 间 算 法 
A=(A, ,A,) ,都 存在 理想 模型 中 可 容许 算法 对 二 (Bi,B,) ,使 得 

(Ideal, gc; Gr» 3)... 三 {Realn,xcs Gr 32)... 

其 中 ,zx,y,zE {0,1}" ,满足 zl 一 |y| 且 |z| 一 poly(|zl)。 

定义 6.5 蕴涵 了 一 些 重 要 性 质 , 如 对 于 恶意 敌手 的 保密 性 和 对 于 诚实 参与 方 的 正确 性 。 
其 中 对 于 恶意 敌手 的 保密 性 是 指 敌 手 通过 与 诚实 方 的 交互 所 得 都 可 以 通过 其 局 部 输出 推导 
得 出 ,这 样 对 恶意 敌手 而 言 ,协议 的 交互 过 程 并 未 提供 额外 信息 。 对 于 诚实 方 的 正确 性 是 指 
诚实 方 得 到 的 输出 结果 与 其 提供 的 输入 相符 ,而 恶意 敌手 提供 的 输入 与 诚实 方 的 输入 无 关 。 


6.2 两 方 保密 计算 功能 函数 


安全 两 方 计算 的 最 终 目 标 是 设计 一 般 性 的 安全 协议 ,使 之 能 够 抵抗 任意 可 行 的 敌手 攻 
击 。 要 完成 这 个 最 终 目标 ,需要 分 成 两 个 步骤 实施 。 本 节 完 成 第 一 步 ,设计 保密 计算 任意 功 
能 函数 的 协议 , 即 协议 对 于 半 诚 实 敌手 是 安全 的 。 在 6.3 节 把 抵抗 半 诚 实 敌 手 的 协议 转化 
为 抵抗 恶意 敌手 攻击 的 协议 。 

设计 抵抗 任意 半 诚 实 敌 手 攻击 的 协议 的 基本 思路 如 下 : 首先 将 要 完成 的 理想 功能 函数 
表示 为 布尔 电路 ,然后 将 这 个 布尔 电路 转化 成 一 个 协议 , 称 之 为 电路 赋值 协议 。 具 体 转 化 过 
程 是 : 协议 由 电路 的 输入 线 开始 ,电路 的 每 个 门 作为 协议 的 一 个 基本 步骤 ,每 个 基本 步 又 
中 ,两 个 参与 方 分 别 持 有 输入 线 的 分 享 值 ,这 一 步 结束 后 ,他 们 分 别 持 有 输出 线 的 分 享 值 。 
每 个 参与 方 所 持 有 的 分 享 值得 不 到 关于 对 应 值 的 任何 信息 ,但 是 将 两 个 分 享 值 组 合 即 可 重 
构 出 对 应 值 。 这 样 将 保密 计算 电路 归 约 到 保密 计算 电路 中 的 每 个 门 , 每 个 门 的 输入 线 由 两 
方 分 享 。 归 约 是 本 节 的 一 个 中 心 概念 , 见 定义 6. 6。 将 由 功能 函数 g 到 了 的 归 约 和 保密 计 
HRR S 的 协议 复合 ,可 以 得 到 保密 计算 函数 g 的 协议 。 这 样 , 可 以 将 保密 计算 一 般 功能 
函数 归 约 为 保密 计算 确定 性 功能 函数 。 对 于 每 个 确定 性 功能 函数 ,可 设计 电路 赋值 协议 来 
完成 它 , 电 路 赋值 协议 可 以 归 约 为 与 门 和 异 或 门 的 计算 ,为 记号 方便 ,用 GF(2) 上 的 算术 电 
路 代替 布尔 电路 ,这 样 布尔 电路 的 与 门 对 应 GF (2) 上 的 乘法 门 ,而 布尔 电路 的 异 或 门 对 应 
GF(2) 上 的 加 法 门 。 乘 法 门 的 计算 可 归 约 为 健忘 传输 协议 。 对 于 任意 功能 函数 ,如 果 存 在 
安全 的 健忘 传输 协议 , 则 根据 归 约 定理 (定理 6. 1) 就 能 够 构造 出 计算 该 功能 函数 的 协议 。 


6.2.1 半 诚 实 模型 中 的 复合 定理 


下 面 介绍 归 约 ( 即 保密 归 约 ) 的 概念 及 归 约 定理 ( 即 半 诚 实 模型 中 的 复合 定理 ) 。 将 保密 
计算 一 个 功能 函数 归 约 为 保密 计算 另 一 个 功能 函数 ,与 通常 意义 下 的 归 约 概念 基本 类 似 。 
通常 意义 下 的 归 约 是 借助 预言 器 (Oracle) 定 义 的 ,这 里 关于 协议 的 归 约 也 是 利用 了 预言 器 。 
此 时 的 预言 器 被 两 个 参与 方 调用 ,每 个 参与 方向 预言 器 提交 询问 ,预言 器 将 答案 返回 给 相应 
的 参与 方 。 

定义 6.6( 保 密 归 约 ) 一 个 预言 器 辅助 协议 称 为 应 用 预言 函数 ,如 果 预 言 器 按照 函数 
了 回答 询问 。 即 当 预 言 器 被 调用 ,第 一 方 提交 的 询问 是 gi, 第 二 方 提交 的 询问 是 9 , 则 预言 
器 的 回答 是 fq ,q;)。 一 个 应 用 预言 函数 f 的 预言 器 辅助 协议 称 为 保密 计算 功能 函数 g， 
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如 果 存 在 多 项 式 时 间 算 法 S, 和 S 分 别 满足 式 (6. 3) 和 式 (6. 4) ,一 个 预言 器 辅助 协议 称 为 
保密 归 约 g 到 了 ,如 果 此 协议 应 用 预言 函数 f 时 则 保密 计算 功能 函数 g 。 

定理 6.1( 半 诚实 模型 中 的 复合 定理 ) 设 功能 函数 g 保密 归 约 到 了 ,并 且 存 在 协议 保 
密 计算 功能 函数 f, 那 么 存在 一 个 协议 保密 计算 功能 函数 g。 

限于 篇 幅 , 这 里 就 不 给 出 定理 的 具体 证 明 过 程 , 感 兴趣 的 读者 可 参阅 文献 [1]。 

给 定 一 个 一 般 的 功能 函数 g ,利用 下 面 介绍 的 预言 辅助 协议 6.1, 可 以 将 其 归 约 到 某 个 
确定 性 功能 函数 f。 首 先 , 令 g(r, (zx,y)) 表 示 选 择 随 机 串 7 时 g(x,y) 的 取 值 。 定 义 确定 性 
功能 函数 S:S Cx sri), (ae re) =g rnr, (ri, 2). 

协议 6.1 

输入 : 第 一 方 的 输入 是 x, € {0,1)", 第 二 方 的 输入 是 zzE{0,1)"。 

CD 第 一 方 均匀 选取 随机 串 n € (0, 1)m05P, 第 二 方 均匀 选取 随机 串 
r, € (0,1) tah , 

(2) 〈 归 约 ) 第 一 方 和 第 二 方 分 别 以 询问 (zi or) 和 (zs ,rs) 调 用 预言 器 ,并 且 记 录 预 言 器 
的 回答 。 

输出 : 每 个 参与 方 将 预言 器 的 回答 作为 输出 。 

易 证 ,协议 6. 1 保密 计算 功能 函数 g, 即 协议 6. 1 将 功能 函数 g 保密 归 约 到 f。 


6.2.2 半 诚 实 模型 中 安全 的 健忘 传输 协议 


健忘 传输 协议 在 安全 多 方 计算 中 有 着 重要 的 作用 。 令 是 一 个 固定 的 正 整数 ,om ,…， 
are (0,1), i € {1,…,k)}。 健忘 传 输 协议 要 完成 的 功能 函数 记 为 OTf ,定义 如 下 : 
OT f (Gai 502 ,0k) ,i) 二 (4,0;)。 习 惯 上 将 第 一 方 称 为 发 送 方 , 持 有 输入 (oi 0 m0 B 
二 方 称 为 接收 方 , 持 有 输入 i。 功 能 函数 OT! 要 完成 的 功能 或 者 目标 是 将 发 送 方 的 第 i 个 
比特 传输 给 接收 方 ,接收 方 不 能 获知 其 他 位 置 的 比特 , 即 不 能 获知 o;,j 关 i, 发 送 方 也 不 能 知 
道 接收 方 要 求 收 到 哪个 位 置 的 比特 , 即 发 送 方 不 能 知道 i。 本 书 第 11 章 专门 介绍 了 健忘 传 
输 协议 方面 的 研究 成 果 , 但 是 为 了 本 章 的 需要 首先 简要 介绍 一 点 健忘 传输 协议 的 基本 知识 。 
建议 读者 在 阅读 本 节 时 可 事先 阅读 一 下 本 书 的 11. 1 节 。 

定义 6.7( 加 强 陷 门 置换 族 ) 设 {f.:D, 一 D,} 是 一 个 陷 门 置换 族 ,其 上 定义 4 个 算法 ， 
分 别 是 指标 算法 I 抽样 算法 DD、 求 值 算法 下 和 求 逆 算 法 BB。 给 定 输入 1" ,算法 工 从 置换 族 
中 选择 一 个 置换 fF. 的 下 标 a 以 及 相应 的 陷 门 r; 给 定 输入 a, 算法 D 从 置换 f, 的 定义 域 中 
抽样 ,输出 一 个 在 定义 域 中 均匀 分 布 的 ;给 定 输入 a 和 ,算法 返回 f(z); 给 定 f. 的 值 
域 中 的 y 及 (ar) ,算法 B 返 回 f'(y)。 称 一 个 陷 门 置换 族 为 加 强 陷 门 置换 族 ,如 果 对 任意 
概率 多 项 式 时 间 算 法 A, 任 意 正 多 项 式 p, 所 有 充分 大 的 nA 

Pr[LA(G A,R) = filas OG, OQ RD I< Ta 

其 中 (1") 表 示 算 法 I 输出 中 的 第 一 个 分 量 即 下 标 ,D' 是 执行 算法 D 的 两 输入 算法 ,将 
也 的 掷 币 结果 作为 辅助 输入 提供 给 了 "。 

假设 加 强 陷 门 置换 族 存 在 , 则 可 以 设计 保密 计算 健忘 传输 功能 函数 OTE 的 安全 协议 。 
BSa: D. > D, Jaer Æ A IR K T E E, b 是 这 一 族 陷 门 置换 的 硬 核 谓词 (Hard-core 
Predicate) 。 简 单 地 讲 ,一 个 多 项 式 可 计算 的 谓词 5:{0,1)" 一 {0,1} 被 称 为 是 一 个 函数 f 的 


167 
ECR ”安全 允 诱 计算 理 纶 与 方法 sd 


硬 核 谓词 ,如 果 对 每 一 个 有 效 的 算法 ,在 给 定 f(z) 的 情况 下 ,能 以 略 大 于 1/2 的 成 功 概率 猜 
中 5Cz) 。 在 以 下 的 协议 6. 2 的 描述 中 ,将 发 送 方 简 记 为 S, 接 收 方 简 记 为 R。 该 协议 的 安全 
性 依赖 于 辅助 的 安全 参数 1" , 随 着 ”的 不 断 增 大 ,该 协议 的 安全 性 程度 增高 。 大 家 知道 , 协 
议 的 安全 性 定义 为 实际 执行 过 程 中 的 视图 与 理想 模型 中 执行 过 程 这 样 两 个 随机 变量 的 计算 
不 可 区 分 性 ,也 就 是 说 , 随 着 n 的 增 大 ,这 两 个 随机 变量 的 接近 程度 越 来 越 好 。 

协议 6.2( 基 于 加 强 陷 门 置 换 族 的 健忘 传输 协议 ) 

输入 : S 的 输入 是 (ol 502 9 ,or)E10,1)*,R 的 输入 是 i€ (1,2, k), SAR 的 辅助 
输入 是 安全 参数 1"。 

CD S 均匀 选择 随机 串 7, 利用 指标 - 陷 门 对 生成 算法 G, 生 成 一 对 指标 - 陷 门 对 (a,7) = 
G(1",r)。S 发 送 指标 a WR. 

(2) 首先 RR 在 加 强 陷 门 置换 族 {f,:D, 一 D,)。e1 的 定义 域 D。 中 均匀 且 独 立地 选取 随机 
Bon ener ,调用 上 次 定义 域 抽样 算法 ,产生 定义 域 中 此 个 数 , 即 zx 二 Dan), 其 中 j 二 1,…， 
k, KK RHF y= fela) MF IFS yj 二 zx;。 最 后 尺 发 送 (y1 ,ys，… dS. 

(3) S KS Ciis yr) 之 后 ,利用 陷 门 计算 zj 二 f (yj),j 二 1,…,k。S RIK 
Ce 562 t0) = Gi Ob Ga) io Db Go) ,or Dbz DAR. 

(4) R 接收 到 S 在 第 (3) 步 发 送 来 的 消息 (cl,c: enm c ETE ci 四 oz;) 并 将 结果 输出 。 

易 知 ,协议 6. 2 计算 功能 函数 OTf 。 下 面 结论 说 明 协 议 6. 2 保密 计算 功能 函数 OTf 。 

命题 6.1 设 { 户 :Di 一 Di)} 是 加 强 陷 门 置换 族 ,2 是 此 陷 门 置换 族 的 硬 核 谓词 。 那 么 协 
议 6. 2 在 半 诚 实 模型 中 保密 计算 功能 函数 OTf 。 

证 明 ”由 于 OT 是 确定 性 功能 函数 , 则 可 以 应 用 定义 6. 1 中 的 简单 形式 。 欲 证 明 协议 
6. 2 保密 计算 OTf , 需 对 两 方 的 视图 分 别 设计 模拟 器 算法 ,使 得 模拟 器 算法 只 给 定 输入 和 输 
出 即 可 产生 出 相应 的 视图 。 

发 送 方 的 视图 由 输入 、 随 机 串 、 接 收 到 的 消息 组 成 , 即 View Crs y) = (Gi st sae) 1 ors 
Gi i30) ,其 中 (Ca ，… ,ox),1") 是 提供 给 发 送 方 的 输入 ,r 是 发 送 方 在 第 (1) 步 选取 的 随 
机 串 ,(y，…,y) 是 发 送 方 在 第 (3) 步 接收 到 的 消息 。 首 先 对 于 发 送 方 的 视图 设计 模拟 器 
算法 S, ,提交 给 模拟 器 Si 的 输入 是 (((ol eo ,1") 20 ,其 中 (Co,… ,on),1") 是 第 一 方 的 
输入 ,4 是 第 一 方 的 输出 ,Si 的 构造 如 下 : Si 均匀 选择 随机 串 "作为 被 模拟 的 发 送 方 的 随机 
"Bus, 独立 且 均 匀 地 生成 % oes ED Si BH (Car o0 Dur ym y). Œ 
然 , 这 样 构造 的 算法 S, 的 输出 分 布 与 实际 协议 中 发 送 方 的 视图 的 分 布 相等 。 

接收 方 的 视图 View! Ge y) — (Cig 1") a (i tm ore) C onm 02) ,其 中 (i,1") 是 接收 方 
的 输入 ,是 第 (1) 步 收 到 的 消息 ,(m snm ir ) 是 接收 方 选择 的 随机 串 , (cl ,… ,cs) 是 第 (3) 步 
接收 到 的 消息 。 构 造 接收 方 的 模拟 器 算法 S. ME: S. 的 输入 是 ((i,1"),o), 其 中 (i,1") 是 
接收 方 的 输入 ,o 是 接收 方 的 输出 S 均匀 选择 随机 数 r% ,运行 生成 算法 得 到 指标 - 陷 门 对 
(^£) SEGA", r), S, 均匀 且 独 立地 选择 nsns E DG orf) j=l, k,g 
V= fe (2D AUF GALS yr cio Dba) ,对 于 7 天 i 均 匀 选 取 cfE (0,1), S. 输出 
(GU) a Crist ered Grec). TRS 输出 中 的 前 3 个 分 量 与 实际 协议 接收 方 的 视 
图 的 相应 部 分 分 布 相等 ,进一步 ,即使 加 上 c; ,这 两 个 分 布 也 是 相等 的 ,那么 这 两 个 随机 变量 只 
在 不 等 于 i 的 c A CREAT RES AAR E ERRUR «c; =o, 0 Cf OD =o; BOC Fz" (Cn))， 
ij EAL AEE HE (0.1) E39] 4p f BO SR TT HH BR GR RU P L0 
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FE a ll n; ,不 能 求 逆 ,这 样 判断 DC f (zi)) 是 0 或 1 没有 优势 ,因此 这 两 个 分 布 是 计算 不 可 
区 分 的 。 


6.2.3 保密 计算 ete = (a +a) + (bi tb 


本 小 节 说 明 乘 法 门 ( 乘 法 函数 ) 可 以 归 约 为 功能 函数 OTi 。 乘 法 函数 是 指 两 个 参与 方 
计算 功能 函数 ((a sbi), Caz 0:00 Ef Coi ,cs), 其 中 a 十 as dé 58 — 7f R58 A 0, +b, 是 第 二 方 
的 输入 ,满足 cı te= Cai ta) * (hb). BRL 6. 3 将 乘法 功能 函数 保密 归 约 到 功能 函数 
OT) ,注意 这 里 为 了 简便 ,讨论 的 都 是 在 GF(2) 上 的 运算 。 

协议 6.3 

输入 : 第 一 方 输入 是 (a b 0 € (00,1) ,第 二 方 输入 是 (as 62) € (0,1)? , 

D 第 一 方 均匀 选取 cE{0,1)。 

(2) 两 方 联合 调用 功能 函数 OT1。 第 一 方 以 发 送 方 的 身份 调用 ,第 二 方 以 接收 方 的 身 
份 调用 。 第 一 方 利用 输入 对 (ai , 记 ) 以 及 第 (1) 步 选 定 的 c ,计算 四 元 组 (CCai 十 0)，(bi 十 
0) ce (Gi 2-0) * Gi HDH), (Ga FD * (44-0) 9-6 CX H1) * (Oi D 3-600) Yh 
此 四 元 组 作为 调用 功能 函数 OTT 的 输入 。 第 二 方 利用 输入 对 (ao: 0 FE 1 十 2a +b, € 
{1,2,3,4} 作 为 调用 功能 函数 OTi 的 输入 。 这 样 在 调用 功能 函数 OTI 结束 后 ,第 一 方 从 功 
能 函数 OT) 处 得 到 空 串 ,第 二 方 得 到 (1 十 2 十 包 ) 位 置 的 运算 结果 , 即 (a +a.) © (bi 十 
boca. 

输出 : 第 一 方 输出 o ,第 二 方 输出 从 功能 函数 OTi 处 得 到 的 结果 。 

显然 ,协议 6. 3 计算 乘法 功能 函数 ,另外 关于 两 个 参与 方 的 模拟 器 算法 也 容易 构造 , 因 
为 协议 6. 3 实际 上 是 没有 交互 的 协议 。 


6.2.4 电路 赋值 协议 


本 节 证 明 计算 任意 表示 成 GF(2) 上 的 算术 电路 的 确定 性 功能 函数 ,能够 保密 归 约 到 计 
算 乘 法 函数 。 首 先 将 要 计算 的 功能 函数 表示 成 电路 ,电路 的 输入 线 共 2n 条 ,每 个 参与 方 有 
nn 条 输入 线 ,为 简便 起 见 , 假 设 每 个 参与 方 有 个 输出 比特 。 

协议 6.4( 将 电路 赋值 函数 归 约 到 乘法 功能 函数 ) 

输入 : 第 一 方 持 有 输入 (zl ,… ,zx?)E1{0,1)", 第 二 方 持 有 输入 (z},… ,7z2)E€ {0,1}"。 

COD 分 享 输入 。 每 个 参与 方 将 输入 的 每 个 比特 与 对 方 分 享 。 第 一 方 均匀 选择 一 列 比特 
Erover 发 送 给 第 二 方 ,这 样 ,第 一 方 的 每 个 输入 线 分 成 两 部 分 ,第 一 方 自己 持 有 输入 线 
的 分 享 是 zi 十 中,…,z? 十 并 ,第 二 方 持 有 的 第 一 方 输入 线 的 分 享 是 r1 ,…,r?。 第 二 方 用 同 
样 的 方法 将 自己 的 输入 线 分 享 ,第 一 方 持 有 的 分 享 是 站 ,… :到 , 第 二 方 自己 持 有 的 分 享 是 
aitri trie 

(2) 电路 赋值 。 根 据 电 路 的 线路 顺序 ,对 于 电路 中 的 每 个 门 有 两 条 输入 线路 ,两 个 参与 
方 利 用 关于 这 两 条 输入 线路 的 各 自 的 分 享 值 ,保密 计算 门 的 输出 的 分 享 。 两 个 参与 方 分 别 
持 有 某 个 门 两 条 输入 线 的 分 享 , 即 第 一 方 持 有 分 享 值 a1 ,2 ,第 二 方 持 有 分 享 值 us ,5; ,其 中 
ai a; 是 第 一 条 输入 线 的 分 享 , 即 a 十 a 是 第 一 条 输入 线 上 的 输入 , ,bs 是 第 二 条 输入 线 
的 分 享 , 即 +b, 是 第 二 条 输入 线 上 的 输入 。 因 为 讨论 GF(2) 上 的 算术 电路 ,因此 只 需 设 
计 协 议 保密 计算 加 法 门 和 乘法 门 两 种 具体 的 门 运算 。 
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加 法 门 赋值 : 第 一 方 持 有 的 关于 两 条 输入 线 的 分 享 分 别 是 w 0i ,第 二 方 持 有 的 关于 两 
条 输入 线 的 分 享 分 别 是 ae obo 。 完 成 加 法 门 运算 的 协议 很 平凡 ,第 一 方 将 加 法 门 的 输出 线 的 
DERE a 十 ,第 二 方 将 此 门 的 输出 线 的 分 享 设 置 为 a 十 户 , 即 两 方 将 自己 的 输入 分 享 
值 分 别 相 加 得 到 输出 的 分 享 值 。 

乘法 门 赋值 : 两 个 参与 方 以 各 自 关于 输入 的 分 享 值 (a ,2 ) 和 (as ,6b;) 调 用 乘法 功能 函 
数 , 以 函数 返回 的 回答 cy 、c: 作为 乘法 门 输出 的 各 自 的 分 享 值 。 根 据 乘法 功能 函数 ,两 方 的 
输出 cl co 满足 0-0 (a +b,) * (az 5), 

(3) 恢复 输出 。 一 旦 整个 电路 的 输出 线 的 分 享 确定 , 则 每 个 参与 方 将 每 条 输出 线 的 分 
享 值 发 送 到 对 方 相应 的 输出 线 ,将 每 条 输出 线 上 获得 的 计算 结果 的 分 享 值 与 从 对 方 收 到 的 
分 享 值 相 加 , 即 确定 出 每 条 输出 线 上 的 比特 。 

输出 : 将 输出 线 上 的 比特 输出 。 

下 面 结 论说 明 协 议 6.4 将 计算 某 个 电路 功能 函数 归 约 为 乘法 功能 函数 ,并 且 归 约 是 保密 的 。 

命题 6.2 协议 6.4 将 电路 赋值 功能 函数 保密 归 约 为 乘法 功能 函数 。 

证 明 由 于 电路 赋值 功能 函数 是 确定 性 功能 函数 ,因此 采用 定义 6. 1 中 的 简单 形式 , 即 
只 要 构造 模拟 器 算法 ,模拟 出 每 个 参与 方 自身 的 视图 即 可 。 因 为 两 个 参与 方 的 对 称 性 ,不 失 
一 般 性 ,对 第 一 方 的 视图 提出 模拟 器 算法 ,第 二 方 视图 模拟 器 算法 的 构造 类 似 。 设 第 一 方 的 
输入 是 xis ot, S E yb ot LEE e (chats Gs V V, V} ,其 中 
V! Gb rD di 58 COP PABLA HE BR TA, CB SS — 75 888 A B9 4380 V 是 从 乘法 
函数 预言 器 收 到 的 消息 ,V; 是 在 第 (3) 步 中 从 第 二 方 接收 到 的 关于 输出 的 分 享 。 模 拟 器 算 
法 S, 构造 如 下 : Si WWA C i), Or ey). S 均匀 选取 站， 有 和 用 
及 ,其 中 才 ,…,r 是 第 一 方 的 随机 数 , 马 ,…, 吉 模拟 第 (1) 步 中 从 第 二 方 收 到 的 消息 ， 
Si 将 第 j 条 输入 线 的 分 享 设置 为 zi 十 ri ,将 关于 第 二 方 输入 线 的 分 享 设置 为 rori X 
于 电路 计算 ,Si 逐步 地 按照 所 给 电路 计算 ,将 加 法 门 输出 线 的 分 享 设置 为 输入 线 的 分 享 值 
的 和 ,乘法 门 输出 线 的 分 享 设置 为 从 {0,1} 中 均匀 选取 的 一 个 比特 。 对 于 实际 协议 视图 中 的 
Vs 消息 ,Si 的 设置 方法 是 : 将 对 应 输出 线 的 分 享 值 rw 与 输出 y; 相 加 , 即 根据 已 有 的 输出 
确定 消息 Vs ,注意 Vs 在 实际 协议 中 是 来 自 于 第 二 方 的 消息 而 模拟 器 算法 必须 由 Si 自己 产 
生 。 这 样 在 模拟 器 算法 中 能 够 保持 与 实际 协议 中 一 致 的 Vs: 与 输出 之 间 的 关系 。S 输出 
(Gri etta Gr em nV! VV) LS TUIS, 输出 的 随机 变量 与 实际 协议 视图 的 随机 变 
量 是 同 分 布 的 ,从 而 命题 得 证 。 

根据 前 面 一 系列 归 约 , 即 一 般 功能 函数 可 以 归 约 到 确定 性 功能 函数 ,确定 性 功能 函数 可 
以 归 约 到 乘法 门 计算 函数 ,乘法 门 计算 可 以 归 约 到 OTT ,这样 可 以 将 任意 功能 函数 归 约 到 
功能 函数 OTI ,而 如 果 加 强 陷 门 置 换 族 存 在 , 则 OTi 能 够 被 保密 计算 。 因 此 对 于 半 诚 实 模 
型 ,有 以 下 的 基本 定理 。 

定理 6.2 假设 存在 加 强 陷 门 置换 族 , 则 任意 功能 函数 在 半 诚 实 模型 中 都 可 以 保密 计算 。 


6.3 安全 两 方 计算 的 基本 定理 


本 节 的 目的 是 把 抵抗 半 诚 实 敌 手 的 协议 转化 为 抵抗 恶意 敌手 攻击 的 协议 ,建立 安全 两 
方 计算 的 主要 结果 (定理 6. 3)。 
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定理 6.3( 基 本 定理 ) 假设 存在 加 强 陷 门 置换 族 , 则 任意 功能 函数 在 恶意 模型 中 都 可 
以 安全 计算 。 

定理 6. 3 的 建立 是 将 半 诚 实 模型 中 的 任意 一 个 协议 编译 成 恶意 模型 中 的 协议 。 编 译 器 
的 工作 原理 是 强制 参与 方 或 者 以 半 诚 实行 为 执行 协议 或 者 被 检测 出 欺骗 ,对 于 后 者 ,协议 中 
断 执行 。 
6.3.1 恶意 模型 中 的 复合 定理 


首先 明确 恶意 参与 方 可 能 的 恶意 行为 (超出 半 诚实 参与 方 的 行为 )。 一 个 恶意 参与 方 可 
能 替换 输入 , 即 没有 以 给 定 的 输入 开始 执行 协议 ,输入 蔡 换 是 不 可 避免 的 ,对 于 这 种 恶意 行 
为 ,编译 器 要 保证 的 是 这 种 蔡 换 与 对 方 的 输入 无 关 ,只 依赖 于 自身 的 原始 输入 。 经 过 编译 的 
协议 有 输入 承诺 阶段 ,就 是 为 了 达到 这 一 目的 。 输 入 承诺 阶段 应 用 的 工具 是 承诺 方案 和 有 零 
知识 证 明 系 统 。 承 诺 方案 是 两 阶段 的 双方 协议 ,两 个 阶段 分 别 是 承诺 阶段 和 公开 阶段 。 承 
诺 方 持 有 秘密 比特 5, 在 承诺 阶段 ,承诺 方 发 送 关于 6。 的 一 个 比特 串 C, 给 接收 方 ,要 求 此 时 
接收 方 根据 C, 不 能 获得 关于 2 的 信息 ,这 个 性 质 称 为 隐蔽 性 (或 隐藏 性 ); 在 公开 阶段 ,承诺 
Ji C, 公开 ,要 求 此 时 承诺 方 不 能 将 C 公开 为 另 一 个 久 ,这 个 性 质 称 为 约束 性 (或 绑 定 
性 ) 。 一 个 恶意 参与 方 可 能 不 按照 均匀 分 布 选择 随机 串 , 对 于 这 种 情况 ,编译 器 要 强制 恶意 
参与 方 应 用 均匀 分 布 的 随机 带 。 经 过 编译 的 协议 中 有 折 币 生成 阶段 ,就 是 为 了 达到 这 一 目 
的 。 据 币 生成 阶段 应 用 的 工具 是 扩展 的 毛 币 入 井 协议 。 一 个 恶意 参与 方 还 可 能 不 按照 协议 
指令 发 送 消息 ,需要 强制 参与 方 发 送 的 消息 与 已 经 承诺 过 的 输入 和 随机 带 相符 。 编 译 器 的 
协议 模仿 阶段 就 是 为 达到 这 一 目标 ,应 用 的 工具 是 零 知识 证 明 系 统 。 

这 样 ,由 原始 协议 出 发 ,经 过 编译 器 编译 之 后 的 协议 由 以 下 3 部 分 组 成 。 

D 输入 承诺 阶段 。 每 个 参与 方 应 用 输入 承诺 功能 函数 对 其 输入 作 承 诺 。 此 处 输入 承 
诺 功能 函数 保证 承诺 方 确实 知道 他 所 承诺 的 值 , 并 且 保持 被 承诺 值 的 秘密 性 。 

(2) 毛 币 生成 阶段 。 参 与 协议 双方 利用 迫 币 功 能 函数 生成 随机 带 。 每 个 参与 方 获得 均 
匀 分 布 的 一 个 随机 带 , 对 方 获得 此 随机 带 的 承诺 值 。 

(3) 协议 模仿 阶段 。 参 与 协议 双方 利用 认证 计算 功能 函数 完成 对 原始 协议 每 一 步 的 模 
仿 执 行 。 认 证 计算 功能 函数 保证 或 者 协议 被 正确 执行 ,或 者 被 检测 出 欺骗 从 而 中 断 。 

类 似 于 半 诚 实 模型 ,对 于 恶意 模型 也 是 首先 给 出 归 约 的 概念 。 因 为 处 理 的 是 恶意 模型 ， 
所 以 相对 于 半 诚 实 模型 的 保密 归 约 ,这 里 讨论 的 是 安全 归 约 。 

类 似 于 保密 归 约 ,一 个 预言 器 辅助 协议 称 为 应 用 预言 函数 /, 如 果 预 言 器 按照 函数 / 回 
答 询 问 , 即 当 预言 器 被 调用 ,第 一 方 提交 的 询问 是 q ,第 二 方 提交 的 询问 是 % , 则 预言 器 的 
回答 是 fg). 

FASA, ,As) 是 一 对 概率 多 项 式 时 间 算 法 ,表示 预言 器 辅助 协议 中 两 个 参与 方 采用 的 算 
Be. SRN A= (A, ,A,) 称 为 可 容许 的 ,如 果 至 少 存在 一 个 i 诚实 执行 预言 器 辅助 协议 。 一 个 
应 用 预言 函数 S 的 预言 器 辅助 协议 中 关于 二 (Ai LA ) 的 联合 执行 记 为 Realf,xco (z,y), 是 算 
法 Ay Coz) Al As(y,x) 交 互 产 生 的 输出 对 ,其 中 调用 预言 器 的 回答 是 依据 函数 f。 一 个 应 
用 预言 函数 S 的 预言 器 辅助 协议 研 称 为 安全 计算 功能 函数 g ,如 果 对 于 预言 器 辅助 的 实际 
协议 耳 的 任意 概率 多 项 式 时 间 可 容许 算法 对 A 二 (Ai «AD ,存在 理想 模型 中 的 概率 多 项 式 
时 间 可 容许 算法 对 B= B, B), AE (Ideal, ao Gr» y) ) as. (Real 
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预言 器 辅助 协议 称 为 安全 归 约 g 到 f ,如 果 此 协议 应 用 预言 函数 f 时 则 安全 计算 功能 函 
数 g。 

定理 6.4( 恶 意 模 型 中 的 复合 定理 ) ” 设 功能 函数 g 安全 归 约 到 f, 并 且 存 在 协议 安全 
计算 功能 函数 f, 那 么 存在 一 个 协议 安全 计算 功能 函数 g。 

限于 篇 幅 , 这 里 就 不 给 出 定理 6. 4 的 详细 证 明 , 感 兴趣 的 读者 可 参阅 文献 [1] 中 的 定理 
7.13.3。 应 用 与 6. 2. 1 小 节 同 样 的 方法 可 将 随机 功能 函数 归 约 到 确定 性 功能 函数 。 即 设 
g 是 一 个 随机 功能 函数 ,定义 fC ri), Gn n0) — gin Qr (a1 200 EP g(r, Gr 30) 
表示 选择 的 随机 串 是 ”时 g(Cz,y) 的 取 值 , 则 协议 6. 1 将 随机 功能 函数 g 归 约 到 确定 性 功能 
v f. 


6.3.2 编译 器 调用 的 功能 函数 


6.3. 1 小节 指 出 ,经 由 编译 器 产生 的 安全 协议 需要 调用 3 个 功能 函数 ,分 别 是 输入 承 
诺 、 扩 展 掷 币 及 认证 计算 功能 函数 。 这 里 给 出 这 些 功能 函数 的 定义 以 及 安全 计算 它们 的 具 
体 协议 ,上 述 3 个 功能 函数 的 基础 是 掷 币 功 能 函数 限制 认 证 计算 功能 函数 及 像 传输 功能 
函数 。 

首先 提出 掷 币 功能 函数 的 定义 并 设计 掷 币 和 人 井 协 议 安全 计算 此 功能 函数 。 掷 币 功能 函 
数 : (1" ,1)H>(2,0), 其 中 2 在 {0,1} 上 均匀 分 布 。 掷 币 功 能 函数 刻画 互 不 信任 的 双方 得 到 一 
个 均匀 分 布 的 比特 这 样 的 功能 。 安 全 计算 此 功能 函数 的 协议 称 为 掷 币 入 井 协 议 , 即 协议 6. 5。 

协议 6.5( 掷 币 入 井 协 议 ) 对 任意 ~, 令 C,:{0,1} 一 {0,1)" 。 

输入 : 双方 的 输入 是 安全 参数 1" 。 

CD 第 一 方 均匀 选择 vcE{0,1} 和 sE{0,1)" ,并且 发 送 c 一 C,(c) 给 第 二 方 。 

(2) 第 二 方 均匀 选择 "E {0,1} ,并 且 发 送 so 给 第 一 方 。 

(3) 第 一 方 输出 o Oo’ ,并 且 发 送 (o,s) 给 第 二 方 。 

(4) 第 二 方 验证 等 式 c==C,(o) 是 否 成 立 。 如 果 成 立 , 则 输出 oo ,否则 输出 上 。 

输出 : 第 一 方 输出 b= Do’ ,第 二 方 或 者 输出 5 或 者 输出 | 。 

显然 , 若 参与 协议 的 双方 都 是 诚实 的 , 则 两 者 输出 同样 的 均匀 分 布 的 比特 。 下 面 证 明 即 
使 有 一 个 参与 方 是 恶意 的 , 则 或 者 双方 输出 同样 的 均匀 分 布 比特 或 者 诚实 方 检测 出 对 方 
欺骗 。 

命题 6.3 WE C 是 一 个 比特 承诺 方案 , 则 协议 6. 5 ETH AF BX. 

证 明 要 证 明 协议 6.5 BRM AFI MN 6. 5 安全 计算 掷 币 功 能 函数 。 根 据 安 
全 两 方 计算 的 定义 ,需要 对 于 任意 攻击 实际 协议 的 可 容许 对 A — CA, A) ,构造 出 攻击 理想 
模型 的 可 容许 对 了 = (B, ,B: )。 所 谓 可 容许 对 ,是 指 两 个 参与 方 中 至 少 有 一 方 是 诚实 的 ,所 
采用 的 算法 如 协议 规定 ,因此 在 证 明 过 程 中 分 两 种 情况 讨论 。 

首先 假设 第 一 方 是 诚实 的 ,在 这 种 情形 下 ,B, 是 确定 的 ,只 需 构造 出 B.. B. 将 攻击 实 
际 协议 的 敌手 算法 A 作为 子 程序 调用 ,生成 A; 需要 的 消息 并 且 获 得 A. 发 送出 来 的 消息 。 
根据 协议 6.5,A; 希望 收 到 的 消息 是 C OAs), A 发 送出 来 的 消息 是 co。B; 算法 设计 
如 下 : Bo 将 输入 1" 发 送 给 可 信 方 ,从 可 信 方 处 获得 搓 币 功能 函数 的 计算 结果 5, 是 一 个 均 
匀 分 布 的 比特 。B: 重复 下 述 (1) (2) 两 个 步骤 ?次 ,试图 生成 A; 的 视图 ,注意 此 时 的 视图 
必须 以 从 可 信 方 收 到 的 2 为 输出 结果 ,这 样 才能 够 保持 视图 与 输出 的 一 致 性 。 
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CD B, 均匀 选择 cE (0,1) sE (0,1)" ,计算 c 二 C,(o), 将 c HAL A, 回答 一 个 比特 ， 
记 为 o ,此 时 A; 的 回答 o 是 依赖 于 消息 c 的 , 即 o A CO. 

(2) 车 so Oo’ =, I B; Cc, (55028 As ,并 将 算法 A, 的 输出 作为 B 在 理想 模型 中 
的 输出 。 否 则 , 回 到 第 (1) 步 ,执行 下 一 次 。 如 果 n 次 执行 Bo 都 没有 成 功 , 即 每 次 执行 都 不 
WE o Oo =), KA B. 输出 一 个 失败 记号 。 

By 输出 失败 记号 的 概率 是 可 忽略 的 。 这 是 因为 对 任意 5€ {0,1) ,每 次 执行 第 (2) 步 成 
功 的 概率 基本 上 是 1/2, 第 (2) 步 成 功 当 且 仅 当 o Do’ ==5, 即 A:(C,(o)) 一 5Go, 其 中 (cs)E 


(0,1) (0,1)" 是 均匀 选取 的 。 而 Pr, [A C, CD) 一 5@a]= 去 . Pr[A: CC CO) =] +> . 


PLA CQ) 7591] 1-- 3. * (PLA (C(O) 25] — PLA CQ) 25 C 是 一 个 承诺 


方案 ,因此 PrLACCCO) —5]— PrLA;CCOLO =b 1 E n AY AT ZR RC. EA B: 输出 失败 记 
号 的 概率 是 可 忽略 的 。 若 B. 没有 输出 失败 记号 ,这 时 理想 模型 中 的 分 布 Ideal; (17,17) = 
(b. A: CC C0) (7.5) ) ,其 中 0 是 从 可 信 方 接收 到 的 均匀 分 布 的 比特 , 且 满足 5 一 cA: (C, (0))。 
相对 应 的 实际 协议 的 分 布 是 Realg, x (1^ 1") — (5. As CC, G0 «C052 ) ,其 中 0 是 双方 共同 决 
定 的 随机 比特 ,也 满足 b= 四 A:(C,(c))。 此 处 这 两 个 分 布 有 相同 的 形式 ,并 且 都 被 (c,s) 
所 确定 ,区 别 在 于 Realna (1",1") 中 的 (c,s) 均 匀 分 布 在 {0,1} 上 ,每 一 对 出 现 的 概率 都 是 
2 而 在 Idealj.ps (1", 1") 中 ,首先 确定 的 是 比特 5, (os) 均 匀 分 布 在 满足 
b=s 中 As(C,(o)) 对 所 构成 的 空间 中 ,根据 5 的 随机 性 及 承诺 方案 的 隐蔽 性 , 易 证 在 
Real; C1" ,1") 和 Idealj.s(1",1") 这 两 个 随机 变量 中 ,各 自 所 对 应 的 (o,s) 的 分 布 差 是 可 忽略 
的 ,因此 这 两 个 随机 变量 是 计算 不 可 区 分 的 。 

其 次 假设 第 二 方 是 诚实 的 ,在 这 种 情形 下 ,B, 是 确定 的 ,只 需 构 造 出 B, 。 给 定 输入 V. 
B, 将 A 作为 子 程序 调用 ,将 A 期 望 获 得 的 消息 aE {0,1} 给 A 并 且 接 收 A, 发 出 的 消 
E. B, 算法 设计 如 下 : Bi 以 输入 1" 调用 Al,Al 输出 一 个 消息 记 为 ec 至 多 是 某 一 个 比特 
oE€1{0,1) 的 承诺 值 。B 试图 获得 A. 在 第 (3) 步 发 送出 的 消息 ,因为 A 在 第 (3) 步 发 出 的 消 
息 可 能 依赖 于 第 (2) 步 获得 的 消息 ,这 样 B 用 第 (2) 步 所 有 可 能 的 不 同 消息 试验 ,以 期 得 到 
Ay 对 于 两 种 不 同 的 第 (2) 步 输入 消息 的 反馈 。 

CD. Bi 发 送 0 给 Ai (EH A 第 (2) 步 收 到 的 消息 ,记录 A 发 出 的 消息 ,或 者 是 上 或 者 
FE (60 950) , 若 < 天 Cs (oo) 视 同 A, 发 出 上 。 

(2) 将 A 重 绕 至 第 (2) 步 ,Bi 发 送 1 给 As (EH A 第 (2) 步 收 到 的 消息 ,记录 As 发 出 
的 消息 ,或 者 是 | RAE Co) 4# cAC,, (a1) 视 同 A, 发 出 上 。 

根据 A, 对 于 (1)、(2) 两 种 情形 的 回答 ,将 B 的 算法 设计 分 成 以 下 3 种 情况 。 

QD HA MFO) (2) 两 种 情形 都 发 出 上 ,那么 B 中 断 , 并 以 A (1 ,o) 作 为 输出 ,此 处 "是 
均匀 分 布 的 一 个 比特 。 由 于 此 时 B. 没有 调用 可 信 方 ,因此 Realna 07,1 — CA (7,5010 = 
Ideal, (1^ 1), 

Q d; A. 只 是 对 于 (1)、(2) 中 某 一 种 情形 正确 回答 , 记 此 比特 为 ,定义 c 一 mr 。Bi 发 
送 1" 给 可 信和 方 ,从 可 信 方 获得 挪 币 功能 函数 的 计算 结果 5, 如 果 bo CDo' , 则 中 断 可 信 方 ， 
即 在 理想 模型 中 可 信和 方 不 给 第 二 方 发 送 计算 结果 ,如 果 b= Oo , 则 允许 可 信 方 发 送 5 给 第 
二 方 。B, Ho RRB A, 并 以 A, 的 输出 作为 输出 。 此 时 ,Idealj.s (1",1") 以 1/2 的 概率 中 
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断 , 若 没有 中 断 , 则 Realna (17, 1") = CA; C1, 00.6 Qo’) = Ideal; (1",1"); 中 断 时 ， 
Realna (1^1) — CA, (2^ ,5/0D . | )= Ideal; 1,1"). 

Q FAs 对 于 (1)、(2) 两 种 情形 都 给 出 正确 回答 ,根据 承诺 方案 的 约束 性 ,有 oo 二 a , 定 
Xo=o (50), Bi 发 送 1" 给 可 信 方 ,从 可 信 方 获得 掷 币 功能 函数 的 计算 结果 5, 令 
o 二 bo 并 允许 可 信 方 发 送 0 给 第 二 方 。B, Ho’ RIK A 并 以 A, 的 输出 作为 输出 。 
Ideal, 5 (1" ,1") — CA; (1^6 @b),b), Realna (1",1") — CA, (1,500.50 Qo). Wii o Mb 是 
{0,1) 上 均 色 分布 的 比特 , 且 o 与 o 的 分 布 相互 独立 ,因此 Ideal, s (1^ 17) 5j Realna (1",1") 
的 分 布 相等 。 

命题 6. 3 证 毕 , 即 协议 6. 5 安全 计算 掷 币 功能 函数 。 

编译 器 中 应 用 的 第 二 个 功能 函数 是 认证 计算 ,首先 提出 以 下 部 分 认证 计算 功能 函数 。 
A fil0,1)* X(0,1)* 一 (0,1)" A A:(0,1)* — (0,1) "是 多 项 式 时 间 可 计算 的 , 且 关 是 单 
射 。 则 部 分 有 认证 了 计算 功能 函数 定义 为 : (cna))H>GQ,Fo))。 以 下 设计 的 协议 6.6 安 
全 计算 此 部 分 认证 计算 功能 函数 。 

协议 6.6( 部 分 认证 计算 协议 ) ”定义 语言 二 {(u,v) | FE x, HE u=h(2) v= 
f(x)},(P,V) 是 语言 的 交互 证 明 系 统 。 

输入 : 第 一 方 输入 是 a€ {0,1)" ,第 二 方 输入 是 u=hla). 

COD 第 一 方 发 送 v= 二 f(a) 给 第 二 方 。 

(2) 双方 调用 证 明 系统 (了 P,V) ,第 一 方 作 为 证 明 者 ,第 二 方 作为 验证 者 。 证 明 系 统 的 公 
共 输 入 是 (u, v), 证 明 者 的 辅助 输入 是 w, 要 向 验证 者 证 明 存 在 c. 使 得 
(u=h(2)) A Co f G)) ,一 旦 验证 者 拒绝 证 明 , 则 第 二 方 中 断 协议 ,输出 | 。 

输出 : 若 第 二 方 没 有 中 断 协议 , 即 验 证 者 接受 证 明 , 则 第 二 方 输出 v, 第 一 方 没 有 输出 。 

命题 6.4 FARA IEEE HOP VO Riba OL 的 零 知 识 交互 证 明 系统 , 则 协议 6. 6 
安全 计算 及 认证 了 计算 功能 函数 。 

证 明 根据 协议 的 安全 性 定义 ,需要 将 攻击 实际 协议 ( 即 现实 模型 ) 的 任意 可 容许 对 
(Ai,A;) ,变换 到 攻击 理想 模型 的 可 容许 对 (Bi ,B:) 。 分 下 面 两 种 情况 讨论 。 

COD 第 一 方 诚实 。 在 这 种 情形 下 ,B, 是 确定 的 ,需要 将 攻击 实际 协议 的 敌手 A; 转化 为 
攻击 理想 模型 的 敌手 B; B; 将 A 作为 子 程序 调用 ,算法 B 的 具体 设计 如 下 : Bo 获得 输入 
u—h(a) B; 发 送 u 给 可 信 方 并 得 到 输出 w ,调用 零 知 识 证 明 系 统 的 模拟 器 算法 ,提供 给 模 
拟 器 的 输入 是 (u,v) ,将 As 作为 恶意 的 验证 者 算法 , 记 获 得 的 模拟 过 程 为 $= S(u,v)。 
B, 将 合理 的 执行 视图 (v,S) 交 给 A ,以 A; 的 输出 作为 输出 。 令 R(a) 表 示 实 际 协议 中 验证 者 
的 视图 , 则 Realrx Cas A (2)) = A, A: (h(a) fla), R(a))) 5 ifij Ideal; (ash(a)) — QA; hla), 
fla), SCh(a) , f 20000 ,根据 零 知识 证 明 的 定义 ,显然 有 Realna Cash Co)) 5j Idealys Ca A (2)) FE 
计算 不 可 区 分 的 。 

(2) 第 二 方 诚 实 。 在 这 种 情形 下 ,B:, 是 确定 的 ,需要 将 攻击 实际 协议 的 敌手 A, 转化 为 
攻击 理想 模型 的 敌手 Bi ,B, 将 A 作为 子 程序 调用 ,算法 B 的 具体 设计 如 下 : Bi 获得 输入 
a€ (0,1)" Bi 以 输入 a 调用 Ai, 记 Ai 发 出 的 消息 为 v, 即 v<-Ai(a) ,Bi 作为 诚实 的 验证 者 
Al A, 交互 ,此 证 明 系 统 的 公共 输入 是 (h(a) ,v) ,由 于 此 证 明 系 统 有 可 忽略 的 可 靠 性 错误 yo 
FUN Ch (a) v) ELA, 被 检测 出 欺骗 的 概率 是 1 一 y(n)。 若 Bi 拒绝 A, 的 证 明 , 则 B; 
中 断 。 否 则 ,Bi 接受 A, 的 证 明 , 则 Bi 发 送 o 给 可 信 方 并 允许 可 信 方 回答 第 二 方 ,注意 此 时 
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第 二 方 获 得 的 输出 是 f(a) ,最 后 B 发 给 A. 期 望 收 到 的 视图 并 将 A 的 输出 作为 自己 的 输 
Ho $ pp 表示 Ai(a) 说 服 验 证 者 (u,v) EL 的 概率 ,注意 这 里 v 二 Ai(a) 不 一 定 等 于 f Ca) A 
dE p Sp 的 关系 ,分 以 下 两 种 情况 讨论 Realga (ash(a)) Mil Idealy.n(ash(a)) WERK « 

COD >un). ERE F ,根据 可 靠 性 条 件 , 必 有 (u,v) EL, 则 有 A (a) — v— f(a). 
因此 ,以 p 的 概率 ,实际 协议 和 理想 模型 中 的 执行 不 中 断 , 且 都 等 于 (A1 Go TO ,f(a)), 其 中 
人 表示 证 明 者 在 第 (2) 步 的 视图 ;以 1 一 p 的 概率 ,实际 协议 和 理想 模型 中 的 执行 中 断 , 且 都 
ÆFA: aT), 1D ,因此 Realny (ash(a)) All Idealj,a(a,h(a)) 的 分 布 相 同 。 

(2) pp(n)。 在 此 情形 下 ,实际 协议 和 理想 模型 中 的 中 断 执行 以 1 一 p 的 概率 发 生 , 且 
分 布 相同 ;由 于 jy() 是 可 忽略 的 ,因此 对 于 非 中 断 执 行 ,实际 协议 与 理想 模型 之 间 的 差别 是 
可 忽略 的 ,这 样 Realg.x (a,h(a)) 和 Idealj.s (a,h(a)) 是 计算 不 可 区 分 的 。 

编译 器 中 应 用 的 第 三 个 功能 函数 是 像 传 输 ( 也 称 为 非 认 证 计算 ): (a1 HA, fla)), 
其 中 函数 f 是 多 项 式 时 间 可 计算 的 。 与 认证 计算 不 同 的 是 ,此 处 f(a) 不 是 可 验证 的 ,只 要 
求 第 二 方 的 输出 是 函数 了 的 像 。 实 现 像 传输 功能 函数 的 协议 与 协议 6. 6 相同 ,但 是 要 求 
(P,V) 是 强 知识 的 零 知识 证 明 系 统 , 即 以 下 命题 6.5 成 立 。 

命题 6.5 假设 (P,V) 是 关系 RR={(v,w) :v==f(w)} 的 强 知识 的 零 知识 证 明 系统 ,h 是 
一 个 常 函 数 ( 不 失 一 般 性 , 设 h(a) 三 1" ), 则 协议 6.6 安全 计算 像 传 输 功能 函数 。 

证 明 与 命题 6. 4 的 证 明 类 似 , 分 两 种 情况 讨论 。 第 一 方 诚实 的 情形 其 证 明 与 命题 
6.4 完全 相同 。 因 为 第 二 方 的 视图 在 协议 6. 5 与 协议 6. 6 中 是 相同 的 ,所 以 采用 与 命题 6. 4 
中 相同 的 方法 ,将 实际 协议 中 第 二 方 算 法 A 转换 成 理想 模型 中 相应 的 算法 Bo 

第 二 方 诚实 。 在 这 种 情形 下 LB. 是 确定 的 ,需要 将 攻击 实际 协议 的 敌手 A 转化 为 攻击 
理想 模型 的 敌手 B B EA, 作为 子 程序 调用 ,算法 B 的 具体 设计 如 下 : B 获得 输入 
a€{0,1}",B, 以 输入 a 调用 Al, 记 人 Ai 发 出 的 消息 为 v, 即 vA, (a), B 试图 获得 v 在 f 下 
的 原 像 ,确切 地 讲 ,B, 应 用 此 证 明 系 统 的 知识 抽取 器 抽取 出 串 w, 使 得 fw) 二 v, 若 抽取 器 
成 功 ,Bi Fa’ =w, FMB, 令 a 二 | 。 接 下 来 B 要 生成 A, 在 第 (2) 步 的 视图 ,Bi 充当 诚 
实 的 验证 者 与 A, 交互 , 若 验 证 者 拒绝 A 的 证 明 , 则 B, 中 断 ,并 将 A. 的 输出 作为 自己 的 输 
出 ;车 被 模仿 的 验证 者 接受 A, 的 证 明 ,分 成 以 下 两 种 情况 。 

COD FAL W Bi 发 送 a 给 可 信 方 并 允许 可 信 方 回答 第 二 方 ,注意 此 时 给 第 二 方 的 
回答 是 fa). 

(2) 若 w 一 上 , 则 B, 中 断 。 最 后 B 将 执行 视图 发 送 给 A 并 将 A, 的 输出 作为 自己 的 
输出 。 下 面 证 明 Realn,a (a. 1 ) 和 Idealy.s (a,11" ) 是 计算 不 可 区 分 的 ,实际 上 这 两 个 随机 
变量 是 统计 不 可 区 分 的 ,二 者 的 差别 仅 在 于 ,攻击 实际 协议 的 敌手 A, 成功 地 使 验证 者 确信 
A, 知道 v 在 f 下 的 原 像 ,然而 知识 抽取 器 没有 能 够 抽取 出 这 个 原 像 。 在 其 他 两 种 情况 下 
Bp A, 没 能 说 服 验 证 者 他 知道 原 像 以 及 A, 说服 验证 者 并 且 知 识 抽取 器 成 功 ,Realn,a (a, 
11") 与 Idealj,p(a,11") 是 等 分 布 的。 而 由 知识 的 零 知识 证 明定 义 ,Ai 说服 验证 者 并 且 知 识 
抽取 器 失败 的 概率 是 可 忽略 的 ,因此 Realn.x (a,11") 和 Idealy,p (a 17 ) 是 计算 不 可 区 分 的 。 

编译 器 中 应 用 的 第 四 个 功能 函数 是 认证 计算 ,是 部 分 认证 计算 功能 函数 的 推广 。 令 
f:{0,1)" X (0,1) —(0,1) * 和 有 h:{0,1)" (0,1) * 是 多 项 式 时 间 可 计算 的 , 且 有 是 单 射 ， 
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则 及 认证 f 计算 功能 函数 定义 为 : Ca D H 
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输 功能 函数 的 协议 6. 7 安全 计算 此 功能 函数 。 

协议 6.7( 认 证 计算 协议 ) 

输入 : 第 一 方 输入 是 a€ (0,1) ,第 二 方 输入 是 ge (0,1), 

(1) 第 一 方 应 用 像 传输 功能 函数 发 送 (u,v) 二 (h(a) ,f(a)) 给 第 二 方 。 

D 第 二 方 收 到 (u,v) 后 ,车 x 一 8, 则 输出 wv; 否则 ,输出 (u,v)。 

输出 : 第 一 方 没有 输出 ,第 二 方 若 没 有 中 断 , 则 输出 如 第 (2) 步 。 

命题 6.6 协议 6.7 将 认证 f 计算 功能 函数 安全 归 约 到 像 传 输 功 能 函数 。 

证 明 与 前 面 的 证 明 类 似 ,分 两 种 情况 讨论 。 第 一 方 诚实 ,需要 将 攻击 实际 协议 的 敌手 
A, 变换 到 攻击 理想 模型 的 敌手 B. ,算法 B. 的 具体 设计 如 下 : B: 发 送 B 给 可 信 方 并 获得 计 
算 结果 , 若 B==h(a) , 则 结果 是 v= f Ca ,车 BFA Ca) B] ZR e Cuv) = (hla),f(a))。B= 
h(a) 时 ,Bs 置 一 8, 这 样 对 于 从 可 信 方 获得 的 这 两 种 结果 都 有 (wu) 一 (ha) f (0) B: 将 
B Cu v) RH As ,并 以 A; 的 输出 作为 输出 。 易 见 ,Realr,r (a+) II Ideal;.p Ca» p) & 5$ 41 
的 ,都 是 (4,As (Bs Ala), f (0022. 

第 二 方 诚实 。 在 这 种 情形 下 ,B, 是 确定 的 ,需要 将 攻击 实际 协议 的 敌手 A 转化 为 攻击 
理想 模型 的 敌手 B ,算法 B, 的 具体 设计 如 下 : B 以 输入 a WA A ,获得 As 在 第 (1) 步 发 
出 的 消息 a ,车 A 指令 预言 器 不 回答 第 二 方 , 则 B, 中断 ,否则 ,B, 发 送 a' 给 可 信 方 并 允许 
可 信 方 回答 第 二 方 。B, 将 执行 视图 o^ ,4 给 A1 并 输出 A, 的 输出 , 易 见 ,Realrr Cas p) 和 
Idealj,5 (a,B) 是 分 布 相等 的 随机 变量 。 

编译 器 中 应 用 的 第 五 个 功能 函数 是 扩展 掷 币 ,是 搓 币 入 井 功能 函数 的 推广 。 对 于 任意 
正 多 项 式 ! 和 多 项 式 时 间 可 计算 函数 g ,扩展 搁 币 功能 函数 定义 为 : "Ib g(r) ,其 
中 > 在 {0,1) "上 均匀 分 布 。 利 用 掷 币 人 井 和 认证 计算 功能 函数 可 设计 以 下 的 协议 6. 8 安 
全 计算 此 功能 函数 。 

协议 6. 8 (扩展 掷 币 协议 ) WF neon € (017m. 5€ (00,1). 
C, us Gn 8) = (QC, (ar) C, G0) 

输入 :两 方 获得 的 输入 都 是 安全 参数 1n ,并 设 /二 1(n) 。 

(1) 第 一 方 均匀 选取 m ,…,01 € (01) A s n s E {0,1} IFAS r =o, 0. 5= 
i 

(2) 第 一 方 应 用 认证 计算 功能 函数 发 送 = 一 CC ) 给 第 二 方 。 

(3) 两 个 参与 方 调用 掷 币 入 井 功 能 函数 1 次 ,生成 一 个 公共 的 随机 串 s" € {0,1)', 即 第 
i 次 调用 产生 的 第 i 个 比特 。 

(4) 第 一 方 令 r==r ,并 利用 认证 计算 功能 函数 发 送 g(r) 给 第 二 方 。 确 切 地 讲 ,第 
一 方 以 输入 (x',5 n) ,第 二 方 以 输入 (5 ,x) 调 用 认证 计算 功能 函数 ,其 中 第 二 方 的 输入 与 第 
一 方 输入 关系 应 满足 h(r 8r) — (C. G0 00 ,第 二 方 期 望 获得 f(r ss r0 gG Qr». 
若 第 一 方 中 断 或 者 第 二 方 从 认证 计算 功能 函数 获得 形 如 ((C:(~),”),g(r Qr WAR, 
则 第 二 方 中 断 并 输出 上 。 

输出 : 第 一 方 输出 ~, 第 二 方 输出 在 第 (4) 步 确定 ,或 者 是 8(~) 或 者 是 | 。 

命题 6.7 协议 6. 8 将 扩展 掷 币 功能 函数 归 约 到 认证 计算 功能 函数 和 掷 币 功能 函数 。 

证 明 首先 假设 第 一 方 是 诚实 的 ,需要 对 于 任意 攻击 实际 协议 的 敌手 A ,设计 攻击 理想 
模型 的 敌手 B: 。 算 法 B. 的 设计 如 下 :给 定 输入 1",B, 均匀 选择 x € (0.1)! Als E (0,1) 7 
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效 实际 协议 中 第 (2) 步 的 执行 ,将 5 二 C; (x ) 发 给 As (实际 协议 第 (2) 步 中 A, 应 收 到 的 消 
BO. B, 均匀 选择 E (0,1)! JE AGE r^ 45 A. 模仿 第 (3) 步 A. 应 收 到 的 消息 。B; 以 输入 
1" 调用 可 信 方 得 到 输出 g(r) ,这 里 -~ 是 可 信 方 均匀 搁 币 的 结果 ,并 发 送 给 诚实 的 第 一 方 作 
为 输出 A 收 到 第 (3) 步 的 消息 之 后 ,发 送出 调用 认证 计算 功能 函数 的 询问 , 若 此 询问 与 
B, 之 前 发 给 A WHC’). — S B 中 断 并 输出 A ,ec ur I (CD ig G5 
否则 ,B, 输出 As Qo cur eG). TRAE Ao 发 送出 调用 认证 计算 功能 函数 的 询问 ,区 分 两 种 
情况 讨论 。 

第 一 种 情况 ,车 As 发 出 的 询问 与 接收 到 的 (Ci(r ) 5”) — BM Realna (17,1 =O" @r", 
A; Q4CGD rgo Qr» ,其 中 与 "均匀 独立 分 布 , 记 r 二 r Or" uff Realna (1",1") 改 
写 为 (r,As AC rr) rn gG)» ili Ideal;s O" ,1")=(r,As ACO) rz" go) ,其 中 六 
均匀 独立 分 布 ,根据 承诺 方案 C 的 隐蔽 性 质 可 知 ,这 两 个 随机 变量 是 计算 不 可 区 分 的 。 
第 二 种 情况 ,车 A. 发 出 的 询问 与 接收 到 的 (Cr ) ,"“) 不 一 致 , 则 Realna (17,12 = 
(ALA ,CO@r) sr”, CDr) rs g(7)))) si Ideal,,; (1", 1") = Cr. A; Ar), r, 
CE, rg), FAVRE ARAB AR R C 的 隐蔽 性 质 可 知 ,这 两 个 随机 变量 计算 不 可 
区 分 。 

第 二 方 诚实 。 在 这 种 情形 下 Be 是 确定 的 ,需要 将 攻击 实际 协议 的 敌手 A 转化 为 攻击 
理想 模型 的 敌手 B,, 算 法 B. 的 具体 设计 如 下 : B 以 输入 1" 调用 Al,Al 发 出 消息 
C5 <A; MÈ Ay 在 第 (2) 步 调用 认证 计算 功能 函数 的 询问 。B, 以 输入 1" 调用 可 信 方 
获得 计算 结果 ,一 个 均匀 分 布 的 比特 串 rE (00.1) ,模仿 协议 的 第 (3) 步 ,B, 将 A 这 一 步 要 
收 到 的 消息 x, 设置 为 =rr ,并 发 送 给 A. B 模仿 协议 第 (4) 步 的 执行 , 令 (9 g d= 
Ai Q7 Ar”) AEG, GO 40 — (GC, GOD 0) BI A, 在 第 (4) 步 以 匹配 的 消息 调用 认证 计算 功 
能 函数 , 则 B, 指令 可 信 方 将 计算 结果 gr) 发送 给 第 二 方 ;否则 ,不 发 送 。B, 输出 A Cl" ,4， 
7A) 。 第 一 方 在 理想 模型 和 实际 协议 中 的 输出 都 是 A, (1" ar 20 ,关键 在 于 与 第 二 方 输 
出 的 关系 ,第 二 方 获得 输出 在 两 个 模型 中 有 输出 的 条 件 是 一 样 的 , 即 当 且 仅 当 在 第 (4) 步 中 ， 
78 (CC, G0 4) — (QC, GO 过) 成立 ,而 根据 承诺 方案 的 约束 性 质 , 可 得 出 (o% og”) = Gr or”) ,这 
样 车 上 述 等 式 成 立 , 则 第 二 方 有 输出 , 且 在 理想 模型 和 实际 协议 中 的 输出 都 是 g(~ Or") A 
此 Realna (1^ ,1") 和 Idealr,s(1" ,1") 计 算 不 可 区 分 。 

在 编译 器 中 直接 应 用 的 是 扩展 挪 币 的 一 种 特殊 形式 , 即 Cr s) — C, GO ,具体 地 讲 , 是 以 
下 功能 函数 :(1" ,1") PC SC GOD. 

编译 器 中 应 用 的 第 六 个 功能 函数 是 输入 承诺 功能 函数 。 令 C 是 一 个 承诺 方案 ,C 如 协 
W 6.8 中 定义 ,输入 承诺 功能 函数 定义 为 : (z,1iz1) PRG C, G0 JEn r 160,1) 9^ 上 均匀 
分 布 。 利 用 掷 币 人 井 和 认证 计算 功能 函数 可 设计 以 下 的 协议 6. 9 安全 计算 此 功能 函数 。 

协议 6.9 ”第 一 方 输入 是 zxE {0,1)", 第 二 方 输入 是 1"。 

(1) 第 一 方 均 匀 选 取 xE {0,1)”。 

(2) 第 一 方 利用 认证 计算 功能 函数 发 送 一 C… (z) 给 第 二 方 。 

G) 生成 最 终 承 诺 所 需要 的 随机 串 。 双 方 应 用 扩展 毛 币 功能 函数 ,第 一 方 获得 (7 ,x)， 
第 二 方 获得 一 Ge(r) ,其 中 rE (0,1) AE (0,1) 是 均匀 独立 分 布 的 随机 串 。 

(4) 第 一 方 利用 认证 计算 功能 函数 发 送 C, (zx) 给 第 二 方 。 具 体 地 讲 , 第 一 方 以 (z,r,7 rn. 
第 二 方 以 (c ,中 作为 给 认证 计算 功能 函数 的 询问 ,两 方 询问 之 间 的 关系 是 h(z,r,r = 
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(C, G2 ,Cr(7)), 第 二 方 期 望 获得 Carr ,六 一 CCz)。 若 第 一 方 中 断 或 第 二 方 由 于 双方 
的 询问 不 匹配 获得 ((C, Ce) ,Cz G0 ,GCCz)), 则 第 二 方 检测 出 第 一 方 欺骗 ,输出 上 ,中 断 
协议 。 

输出 :第 一 方 输出 ~, 第 二 方 输出 由 第 (4) 步 决定 , 即 或 者 输出 C,(z) 或 者 输出 上 。 

命题 6.8 协议 6. 9 将 输入 承诺 功能 函数 归 约 到 认证 计算 功能 函数 和 掷 币 功能 函数 。 

证 明 首先 假设 第 一 方 是 诚实 的 ,需要 对 于 任意 攻击 实际 协议 的 敌手 A; ,设计 攻击 理 
想 模 型 的 敌手 B, 。 算 法 B, 的 设计 如 下 :给 定 输入 1 B. 均匀 选择 rE {0,1}” ,模仿 协议 的 
第 (2) 步 ,B 将 c — C, (0") 发 送 给 A; 。 模 仿 协议 的 第 (3) 步 , B. 均匀 选择 *E {0,1}” 和 
/' € {0,1)” d CH ORRA Al. B; 以 输入 1" 调用 可 信 方 得 到 C,(z) ,此 处 r 是 均匀 
分 布 在 {0,1)” 上 的 一 个 随机 串 , 且 可 信 方 将 r 发 送 给 第 一 方 作 为 输入 承诺 函数 的 计算 结 
SR. A 收 到 之 后 ,产生 第 (4) 步 的 询问 , 若 Ao 输出 的 询问 不 等 于 (c ,c) , 则 B. 中 断 ,并 输 
出 AA's”, Ce 00, G2)) LESTIE B. 输出 ASQ ec ,c,C,(z))。 分 两 种 情况 讨论 。 

第 一 种 情况 ,第 (4) 步 A, 发 出 的 询问 与 之 前 收 到 的 消息 匹配 ,此 时 理想 模型 中 的 执行 
结果 是 (r,As(4,C(0"),C(s),C,(z))), 其 中 r+ 和 s 独立 均匀 分 布 ;而 实际 协议 中 的 执行 结果 
JG AQ C GO) CG) C, GOD) ,根据 承 诺 方案 的 隐蔽 性 质 可 知 ,这 两 个 随机 变量 计算 不 可 
区 分 。 

第 二 种 情况 ,第 (4) 步 A, 发 出 的 询问 与 之 前 收 到 的 消息 不 匹配 ,此 时 理想 模型 中 的 执 
行 结果 是 (r,A:(A,C(0") CG) (C (07) C GOD C, GO000 FER r A s 独立 均匀 分 布 ;而 实际 
协议 中 的 执行 结果 是 (r,A: ,CCz),CCr),((CCz),CCr)) ,CCz))) ,根据 承 诺 方 案 的 隐蔽 
性 质 可 知 ,这 两 个 随机 变量 计算 不 可 区 分 。 

第 二 方 诚实 。 在 这 种 情形 下 LB. 是 确定 的 ,需要 将 攻击 实际 协议 的 敌手 A 转化 为 攻击 
理想 模型 的 敌手 B,, 算 法 B 的 具体 设计 如 下 : B 以 输入 工 调 用 Al,Ai 发 出 消息 
G' ,r)—A, G)f& A, a S HORUM. B, 以 输入 z' 调 用 可 信 方 
获得 计算 结果 , 一 个 均匀 分 布 的 比特 串 © {0,1}” ,模仿 协议 的 第 (3) 步 , B, 均匀 选取 
:' € (0,1) FRÆ (Gr. r) AA. B 模仿 协议 第 (4) 步 的 执行 , 令 (qi ,gaysiysz) 一 
Ai Ges Gr) ERG, Gi 4C, (2) = (C, Gr) Ce G2) BI A; 在 第 (4) 步 以 匹配 的 消息 调 
用 认证 计算 功能 函数 , 则 B, 指令 可 信 方 将 计算 结果 发 送 给 第 二 方 ;否则 ,不 发 送 。B, 输出 
AiCz'Gr'),A)。 第 一 方 在 理想 模型 和 实际 协议 中 的 输出 都 是 As Gra Gn 20 ,关键 
在 于 与 第 二 方 输出 的 关系 ,在 两 个 模型 中 第 二 方 获 得 输出 的 条 件 是 一 样 的 , 即 当 且 仅 当 在 第 
(4) 步 中 ,有 (C, (qi) 4C, (4:0) = (Cy GO ,Cr(r)) 成 立 , 而 根据 承诺 方案 的 约束 性 质 , 可 得 
出 (9 g) = asr) ,这 样 车 上 述 等 式 成 立 , 则 第 二 方 有 输出 , 且 在 理想 模型 和 实际 协议 中 的 
输出 都 是 C,(z) ,因此 Realy.x (zx,1") 和 Idealyj.s(zx,1") 计 算 不 可 区 分 。 


6.3.3 编译 器 


编译 器 的 工作 方式 是 ,给 定 一 个 半 诚 实 模型 中 安全 的 协议 五, 生成 恶意 模型 中 的 协议 
下 ,下 和 开 完 成 同样 的 功能 。 以 下 的 协议 6. 10 即 为 经 过 编译 的 协议 的 具体 结构 。 

协议 6.10 给 定 半 诚实 模型 的 协议 工 ,以 下 产生 恶意 模型 中 的 协议 T : 

输入 :第 一 方 的 输入 是 € {0,1)", 第 二 方 的 输入 是 y€ {0,1)"。 
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输入 承诺 阶段 :参与 协议 的 双方 利用 输入 承诺 功能 函数 分 别 对 自己 的 输入 作 承 诺 。 具 
体 地 ,双方 两 次 调用 输入 承诺 功能 函数 。 第 一 次 调用 是 第 一 方 对 自己 的 输入 作 承 诺 ,预言 器 
返回 给 第 一 方 的 回答 是 一 个 均匀 分 布 的 随机 串 PE {0,1)" ,第 二 方 得 到 的 回答 是 
y —C, (zx)。 第 二 次 调用 是 第 二 方 对 自己 的 输入 作 承 诺 ,预言 器 返回 给 第 二 方 的 回答 是 一 
个 均匀 分 布 的 随机 串 o^ € (0.1) ,第 一方 得 到 的 回答 是 二 Cy (y)。 

随机 带 生成 阶段 :参与 协议 的 双方 利用 扩展 掷 币 功 能 函数 分 别 产生 自己 的 随机 带 。 具 
体 地 ,双方 两 次 调用 扩展 撕 币 功能 函数 。 第 一 次 调用 是 第 一 方 用 于 获得 自己 的 随机 带 , 预 言 


iR Fl A 28 — 75 AY Il AJ Cn 0 € (0,1)? Xx {0,1)"”“", 第 二 方 得 到 的 回答 是 
à! 2C) (r')。 第 二 次 调用 是 第 二 方 获得 自己 的 随机 带 , 预言 器 返回 给 第 二 方 的 回答 是 
G^ o) € (0,1)? X (0,1)? ,第 一 方 得 到 的 回答 是 二 Cz (7), 


协议 执行 阶段 :参与 协议 的 双方 利用 认证 计算 功能 函数 模仿 协议 耳 每 一 步 的 执行 。 在 
每 次 调用 中 ,发 送 方 充当 调用 预言 器 的 第 一 方 ,接收 方 充 当 调用 预言 器 的 第 二 方 。 假 设 当前 
步骤 是 第 7 方 发 送 消息 , 若 j 一 1, 令 uw 二 x; 车 j 二 2,u 二 y。 调 用 认证 计算 功能 函数 的 输入 
aB RREA, f 的 定义 如 下 。a 二 (a ,aa sas) ,其 中 二 (usp’) 是 调用 输入 承诺 功能 函数 
的 询问 及 回答 ,os 一 (~”,o;) 是 调用 扩展 掷 币 功能 函数 的 回答 ,os 是 第 j 方 执行 到 当前 步 又 
所 获得 的 消息 序列 。B= (% ,2 ,as ) ,其 中 y! 是 调用 输入 承诺 功能 函数 的 回答 ,8 是 调用 扩 
展 掷 币 功 能 函数 的 回答 ,os 是 接收 方 执 行 到 当前 步骤 所 发 出 的 消息 序列 。 函 数 有 定义 为 
h Cai saz sas) = (C, (u) ,Cy (ri) ,as)。 函 数 定义 为 f(a 02 ,as ) 即 为 当前 步骤 第 j 方 要 发 
送 的 消息 。 

输出 : 一 旦 某 个 功能 函数 调用 以 中 断 结束 , 则 接收 到 .| 的 参与 方 输出 | ,否则 ,输出 为 
此 参与 方 在 协议 荆 中 的 输出 。 

如 果 将 协议 6. 10 中 对 功能 函数 的 调用 替换 成 相应 的 子 协议 ,那么 就 得 出 抵抗 恶意 敌手 
的 标准 协议 。 显 然 , 若 两 个 参与 方 都 是 诚实 的 , 则 协议 区 完全 保持 了 协议 区 的 输入 /输出 之 
间 的 关系 。 对 于 恶意 敌手 ,这 个 结果 也 成 立 , 即 对 于 任意 功能 函数 f ,编译 器 将 半 诚 实 模型 
中 保密 计算 f 的 协议 转化 为 恶意 模型 中 安全 计算 f 的 协议 。 换 名 话 说 ,只 要 证 明 协 议 6. 10 
安全 计算 协议 区 的 功能 函数 , 则 定理 6. 3 得 证 。 限 于 篇 幅 , 此 处 省 略 ,具体 证 明 过 程 可 参见 
文献 [1]。 至 此 ,建立 了 两 方 计算 的 一 般 结论 , 即 假设 加 强 陷 门 单 向 置换 族 存 在 , 则 任意 功能 
函数 都 可 以 安全 计算 。6.4 节 将 两 方 情况 推广 到 多 方 情 况 。 


6.4 安全 多 方 计算 


本 节 讨 论 安全 多 方 计算 ,其 最 终 目 标 仍然 是 设计 抵抗 任意 可 行 敌手 攻击 的 协议 ,方法 类 
似 于 两 方 的 情形 ,首先 对 半 诚 实 敌 手 设计 协议 ,然后 对 恶意 敌手 设计 协议 。 对 于 恶意 敌手 ， 
多 方 计算 较 之 两 方 情形 复杂 ,要 考虑 两 种 不 同 的 模型 。 第 一 种 恶意 行为 模型 类 似 于 两 方 情 
JÉ ,在 这 种 模型 中 ,敌手 可 以 入侵 多 数 参 与 方 , 在 安全 性 定义 中 允许 中 断 执行 。 第 二 种 恶意 
行为 模型 中 ,敌手 只 能 控制 严格 少数 的 参与 方 ,在 安全 性 定义 中 可 有 效 防止 中 断 执 行 。 


6.4.1 安全 多 方 计算 的 定义 
一 个 多 方 协议 可 以 看 作 将 输入 序列 映射 到 输出 序列 的 随机 过 程 。 设 m 表示 参与 方 的 个 
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数 , 为 简便 起 见 ,不 妨 设 m 是 固定 的 。 一 个 m 元 功能 函数 记 为 f: ({0,1}* 07 (00,1) 70", 
是 将 序列 二 (zi ,…,z,) 映 射 到 随机 变量 序列 fO) = Cfi GO n f(z)) 的 随机 过 程 ,第 
i 方 的 输入 是 zi ,期 望 获得 fen ,… ,zx,) 的 第 i 个 位 置 的 分 量 f(r mins 

对 于 两 方 计算 的 情形 ,将 参与 方 之 一 作为 敌手 ,而 对 于 多 方 计算 ,引进 外 部 敌手 的 概念 ， 
即 存 在 外 部 敌手 ,控制 不 诚实 参与 方 的 集合 。 敌 手 可 以 控制 任意 个 数 的 参与 方 。 非 自 适应 
敌手 在 协议 执行 之 前 确定 要 和 人 侵 的 参与 方 集合 ,而 自 适应 敌手 在 协议 执行 过 程 中 ,利用 收集 
到 的 信息 选择 要 入 侵 的 参与 方 集合 ,本 节 讨论 的 敌手 是 非 自 适应 情况 。 关 于 通信 信道 的 假 
设 是 ,外 部 敌手 可 以 搭 线 窍 听 所 有 的 通信 信道 ,特别 是 诚实 方 之 间 的 通信 。 

半 诚 实 模型 的 定义 类 似 于 两 方 计算 的 情形 。 半 诚实 参与 方 是 指正 确 执行 协议 ,但 是 会 
记录 中 间 运 算 的 结果 。 

定义 6.8( 多 方 保密 计算 ,无 搭 线 窃听 ) BS: 0.1)" 0779 (0.1) 7 )" 是 一 个 m 元 功能 


AIC, fi Gn n, AES. 大 zzw) 的 第 ;个 分 量 。 对 于 Im (e) mm ]— (2m). 
令 万 (zzm) 表 示 子 序列 fi, Gn etm ems fi, 《TI，… ,zm)。 卫 是 计算 f 的 m 方 协议 。 
第 i 方 执行 协议 过 程 中 的 视图 如 定义 6. 1, 记 为 Viewf(z)。 对 于 I= (d.i 


View? Gc) = (1, View! Gr), Views (z))。 当 功能 函数 S 是 确定 性 函数 时 , 称 协议 II DS 
计算 ,如果 存在 概率 多 项 式 时 间 算 法 S, 使 得 对 任意 IC [m ] A 
(SG Cra D + fiGO) reco.) = (View? GO eq 
一 般 地 , 称 协议 五 为 保密 计算 矿 ,如 果 存 在 概率 多 项 式 时 间 算 法 S, 使 得 对 任意 1 壬 [mj, 有 
(CSA, Gr, vmm D fi DD f(T) reco. 


三 ((Viewg(z) Output (Z)) recio. °" 

其 中 Output"(z) 表 示 所 有 参与 方 的 输出 序列 。 

若 对 于 敌手 可 以 搭 线 窃 听 的 情况 ,只 需 在 View?(z) 中 包含 诚实 方 之 间 的 通信 和 即 可 。 

下 面 讨论 抵抗 恶意 敌手 攻击 的 安全 性 定义 。 根 据 敌 手 控制 参与 方 的 个 数 分 为 两 种 情 
况 ,第 一 种 情况 是 对 敌手 控制 参与 方 的 个 数 不 加 限制 ,对 于 这 种 情况 ,安全 计算 任意 功能 函 
数 的 协议 设计 完全 类 似 于 两 方 情形 ,并 且 安 全 性 定义 允许 协议 中 断 。 第 二 种 情况 是 敌手 控 
制 参与 方 个 数 严格 小 于 一 半 ,对 于 这 种 情况 ,安全 计算 任意 功能 函数 的 协议 设计 比 两 方 情 形 
简单 ,并 且 安 全 性 要 求 协 议 不 能 中 断 。 

第 一 类 恶意 模型 。 类 似 于 两 方 情形 。 在 第 一 类 恶意 模型 中 ,有 以 下 3 种 攻击 行为 不 可 
避免 。 

CD 敌手 控制 的 恶意 参与 方 拒绝 参与 协议 运行 ,与 两 方 情 形 相 同 , 在 多 方 计算 协议 中 ， 
将 这 种 行为 看 做 一 种 特殊 的 输入 替换。 

(2) 恶意 参与 方 蔡 换 输 入 ,执行 协议 所 用 的 输入 与 外 界 提供 的 输入 不 同 。 

(3) 恶意 参与 方 中 断 协议 执行 。 

相应 地 ,在 理想 模型 中 ,尽管 引进 了 可 信 方 这 3 种 行为 也 是 不 能 避免 的 ,同样 赋予 恶意 
的 第 一 方 叫 停 可 信 方 的 权利 , 即 当 敌手 控制 第 一 方 时 ,能 够 阻止 可 信 方 发 送 计算 结果 给 其 他 
参与 方 。 

定义 6.9( 第 一 类 恶意 模型 所 对 应 的 理想 模型 ) E (00.1) 707 (0,1) )” 是 一 个 
m 元 功能 函数 。 对 于 I= (hm íi) m Um]- {1,1m}, I-Umn]M. Gio td = 
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Cr, ，"… ,ZX )。 用 (I,B) 表 示 理 想 模 型 中 的 敌手 ,其 中 ICUn]. B 是 概率 多 项 式 时 间 算 法 。 
理想 模型 中 了 关于 (IT,B) 的 联合 执行 记 为 deal?Y.pcs GO ,如 下 定义 : 

(1) 第 一 方 是 诚实 方 , 则 Ideal?!) sc, EH r), BEI zr, fr) pr = 
Gn! nsu ) ,使 得 对 于 iET 有 zi 一 B (zi,T,zyr);, 对 于 i LA zx! 二 xi。 

D 第 一 方 不 诚实 , 则 Ideals. (A 

CL" BG LzrfiG.10 #BE bzr fiz 一 上 
fiz’) By 12.7, fi Cr NY E BCzry,T,zyry 广 (到 )) 天 上 

RPT = (asn ERF ELLA —BGplbznDoMTiel8 rr. 

定义 6.10( 第 一 类 恶意 模型 中 的 安全 性 ) 设 功能 函数 f 如 定义 6. 9 中 给 出 的 一 样 , 协 
议 五 是 计算 了 的 m 方 协议 。 实 际 协议 中 耳 关 于 (I,A) 的 联合 执行 记 为 Realr,raco Gr) ,定义 
成 m 个 参与 方 交互 产生 的 输出 对 ,其 中 恶意 参与 方 产生 的 消息 根据 A(zi,1,z) 计 算 ,诚实 
方 产生 的 消息 根据 协议 耳 的 指令 计算 。 称 协议 耳 在 第 一 类 恶意 模型 中 安全 计算 功能 函数 
了, 如 果 对 于 实际 协议 中 任意 概率 多 项 式 时 间 算 法 A, 都 存在 理想 模型 中 概率 多 项 式 时 间 算 
法 也, 使 得 对 任意 IC m] A (Ideal?) sc Gr), — ( Realg iac) (元 )) 5 o 

TE. 此 处 理想 模型 敌手 B 控制 的 参与 方 集合 与 攻击 实际 协议 敌手 A 控制 的 参与 方 集 
合 相同 。 

定义 6.11( 第 二 类 恶意 模型 中 的 安全 性 ) 设 功能 函数 f 如 定义 6.9 中 给 出 的 一 样 , 协 
议 荆 是 计算 了 的 m 方 协议 。 理想 模 型 敌手 除了 不 允许 中 断 之 外 ,完全 与 定义 6. 9 中 一 样 ， 
理想 模型 中 f 关于 (1,B) 的 联合 执行 记 为 Idealno (T) ,实际 协议 中 也 关于 (T,A) 的 联合 
执行 记 为 Realn,1,acw (T) ,定义 为 m 个 参与 方 交互 产生 的 输出 对 ,其 中 恶意 参与 方 产生 的 消 
息 根据 A(Czr,T,z) 计 算 , 诚 实 方 产生 的 消息 根据 协议 廿 的 指令 计算 。 称 协议 区 在 第 二 类 恶 
意 模 型 中 安全 计算 功能 函数 ,如 果 对 于 实际 协议 中 任意 概率 多 项 式 时 间 算法 A ,都 存在 理 
想 模型 中 概率 多 项 式 时 间 算法 B, 使 得 对 任意 IC [m], | T] <m/2, 4 {Ideal so (z)) e9 = 


(Realg, rac) (T) }z, o 


6.4.2 半 诚 实 模型 中 的 安全 性 


半 诚实 模型 中 的 安全 多 方 计算 协议 是 安全 两 方 计算 协议 的 直接 推广 。 考 虑 计算 加 元 
功能 函数 的 GF(2) 上 的 算术 电路 ,每 个 参与 方 将 自己 的 输入 与 其 他 参与 方 分 享 ,使 得 所 有 
这 些 分 享 的 和 等 于 输入 比特 。 对 于 电路 的 每 一 个 门 , 应 用 适当 的 保密 计算 协议 ,将 输入 的 分 
享 转化 为 输出 的 分 享 ,使 得 输出 的 这 些 分 享 值 的 和 即 为 经 过 该 电路 门 的 计算 结果 。 类 似 于 
两 方 计算 ,关键 问题 是 乘法 门 的 计算 .确切 地 讲 ,电路 中 的 某 个 乘法 门 要 计算 的 是 a* b= 
c, 那 么 首先 将 输入 a 和 XE m 个 参与 方 之 间 分 享 ,使 得 第 i 方 持 有 的 关于 这 个 乘法 门 的 输 
AMARI Gas b ,满足 >)a = as 16, 一 ,然后 设计 协议 ,保密 计算 以 下 的 m Jen 
PRB: (Cay b) on Cam b,00 H Cei i Cm) ,其 中 (co,…,c) 在 {0,1}” 上 均匀 分 布 , 且 服 从 
Mea = Da + So. 这样 ,对 于 多 方 保密 计算 而 言 RIE Th LOR SOR, 
主要 思路 是 将 多 方 乘法 保密 归 约 到 两 方 乘法 功能 函数 ,这 里 归 约 的 定义 如 两 方 情形 的 定义 。 
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称 me = ma . me 为 m 方 乘 法 功能 函数 。 

协议 6.11( 保 密 归 约 m 方 乘法 功能 函数 到 两 方 乘法 功能 函数 ) 

输入 : 第 i 方 的 输入 是 (ai,6:)€ (0,1) X (0,1) i= Lye m. 

D 每 对 参与 方 (i,7) ,其 中 i<j, 调 用 两 方 乘法 功能 函数 。 第 i 方 提供 输入 对 (a; 0 
第 j 方 提供 输入 对 (a;,b;) ,将 两 方 乘法 功能 函数 返回 给 第 i 方 的 回答 记 为 ce! ,给 第 j 方 的 
Big cro. 

(2) 第 i 方 置 c; = mab t+ Mc, 


输出 : 第 i 方 输出 ci。 


根据 等 式 (Da). (a) E AL (ab Hab) m Mab xi em t 
aj) + (bi +b;) ,由 协议 6. ll HIE m Je ete He oe 下 面 命题 6. 9 表明 协议 6. 11 "是 保密 
ha. 

命题 6.9 协议 6. 11 [88H m Jr Se DTE R We TRI 75 He Dh e PK. 

WEB) AERA I= {isei HEP tm. WHA PB Ca; sb, )，… Ca; sbi ) 和 输出 
WE Cc, nc ) ,模拟 器 算法 S 构造 如 下 : METRE GA) € IX Li—j Buda S 均匀 选择 
ci^? € (0,1) ,JE RE c^? =e!) + (a; aj) * itb), 4 I— [mM MA Lia 1 中 的 最 大 元 ,对 
Ti€l Aj CT MSHA ci? € (0,1) FF i€ ILS Rei =c,+mab,t+ S d? , 


PLAIN 
对 于 iEIT 和 jE[m]\{ 让 ,S 输出 所 有 的 cf 7” 。 易 见 , 模 拟 器 S 的 输出 分 布 与 工 中 参与 方 的 
视图 分 布 相等 。 

多 方 电路 赋值 协议 。 有 了 计算 m 方 乘法 功能 函数 的 协议 ,下 面 需 要 设计 协议 将 计算 任 
意 确定 性 功能 函数 归 约 到 计算 m. 方 乘 法 功能 函数 ,思路 类 似 于 两 方 计算 的 情形 ,如 下 协议 
6.12 是 具体 的 构造 。 

协议 6.12( 将 m 方 确定 性 功能 函数 归 约 到 m. 方 乘法 功能 函数 ) 

输入 : 第 i 方 持 有 输入 Zz; 二 zl…z?E{0,1}" i51, m, 

CD 分 享 输入 。 每 个 参与 方 将 自己 的 输入 与 其 他 参与 方 分 享 。 对 任意 i 二 1,…,m 和 
j=l ren HERE RAL P i De PY ERE OP 并 发 送 给 第 方 作为 第 k 方 关 于 第 
G—D * nj 条 输入 线 的 分 享 值 。 第 i 方 将 自己 关于 第 (i 一 1)，n 十 j 条 输入 线 的 分 享 值 设 
BO ri Drm, 


(2) 电路 赋值 。 根 据 电 路 的 线路 顺序 ,参与 方 利用 关于 这 两 条 输入 线路 的 各 自 的 分 享 
值 ,保密 计算 这 个 门 的 输出 的 分 享 。 参 与 方 分 别 持 有 某 个 门 两 条 输入 线 的 分 享 , 即 第 i 方 持 
AYER aiibi i7 Yer m JEP a1，… sau 是 第 一 条 输入 线 的 分 享 ,b,,…,b。 是 第 二 条 输入 
线 的 分 享 。 

加 法 门 赋值 : 第 i 方 将 加 法 门 的 输出 线 的 分 享 设置 为 a; 十 b;。 

乘法 门 赋值 : 参与 方 以 各 自 关于 输入 的 分 享 值 (a; ,5;) 调 用 m 方 乘法 功能 函数 ,以 函数 
返回 的 回答 作为 乘法 门 输出 的 各 自 的 分 享 值 。 

(3) 恢复 输出 。 一 旦 整个 电路 的 输出 线 的 分 享 确定 , 则 每 个 参与 方 将 每 条 输出 线 的 分 
享 值 发 送 到 与 之 分 享 的 参与 方 相 应 的 输出 线 , 将 每 条 输出 线 上 获得 的 计算 结果 相 加 , 即 确定 
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出 每 条 输出 线 上 的 比特 。 

输出 : 将 输出 线 上 的 比特 输出 。 

应 用 与 两 方 电路 赋值 协议 类 似 的 证 明 方 法 ,可 以 证 明 协 议 6. 12 实现 了 由 m 方 确定 性 
功能 函数 到 m 方 乘法 功能 函数 的 归 约 。 至 此 ,将 任意 m 元 功能 函数 归 约 到 两 方 乘法 函数 ， 
而 后 者 可 归 约 到 健忘 传输 协议 OTi ,因此 有 以 下 定理 。 

定理 6.5 ”假设 存在 加 强 陷 门 置换 族 , 则 任意 m 方 功能 函数 在 半 诚 实 模型 中 都 可 以 保 
密 计算 。 


6.4.3 恶意 模型 中 的 安全 性 


本 小 节 的 目的 是 建立 关于 安全 多 方 计算 的 一 般 性 结论 , 即 以 下 的 定理 6. 6。 

定理 6.6 假设 存在 加 强 陷 门 置换 族 ,网 络 中 存在 公 钥 基础 设施 , 则 任意 m Jr DI RE PRÉC 
在 两 类 恶意 模型 中 都 可 以 安全 计算 。 

所 谓 公 钥 基础 设施 是 初始 假设 , 它 为 每 个 参与 方 生成 某 个 签名 方案 的 密 钥 对 ,并 且 将 验 
证 密 钥 公 开 。 完 成 定理 证 明 分 为 两 步 。 首 先 , 将 半 诚 实 模型 中 安全 的 协议 编译 为 第 一 类 恶 
意 模型 中 安全 的 协议 ,这 里 的 编译 器 是 两 方 情 形 的 直接 推广 ;其 次 ,将 第 一 类 恶意 模型 中 安 
全 的 协议 编译 为 第 二 类 恶意 模型 中 安全 的 协议 ,此 处 编译 器 利用 的 主要 工具 是 可 验证 秘密 
共享 协议 。 为 简化 表述 ,本 小 节 假 设 参与 方 之 间 的 通信 和 是 广播 信道 ,参与 方 之 间 没 有 点 到 点 
的 通信 信道 。 所 谓 的 广播 信道 是 指 在 通信 的 每 一 个 步骤 ,只 有 一 个 参与 方 发 送 消 息 , 所 有 的 
参与 方 都 收 到 这 个 消息 ,需要 强调 的 是 ,在 确定 的 步骤 ,只 有 协议 指定 的 那个 参与 方才 能 够 
发 送 消息 , 即 其 他 的 参与 方 都 能 够 验证 当前 步骤 收 到 的 消息 的 确 是 指定 的 参与 方 发 出 的 。 
这 样 的 广播 信道 可 以 通过 拜占庭 协商 (Byzantine Agreement) 协 议 在 标准 的 点 到 点 信道 上 
实现 。 

编译 器 的 目的 就 是 将 点 到 点 的 半 诚 实 模型 中 安全 的 协议 转化 成 两 类 广播 的 恶意 模型 中 
安全 的 协议 ,具体 步骤 如 下 。 首 先 应 用 所 谓 的 前 编译 器 ,将 点 到 点 模型 中 保密 计算 某 理想 功 
能 函数 的 协议 ILS 转化 成 广播 信道 模型 中 保密 计算 理想 功能 函数 8 的 协议 Ts ;其 次 应 用 
第 一 编译 器 将 也 转化 为 第 一 类 恶意 模型 中 安全 的 协议 IT. ,注意 这 里 ITUR IT 的 通信 信道 是 
广播 的 ;再 其 次 ,应 用 第 二 编译 器 将 歼 转 化 为 第 二 类 恶意 模型 中 安全 的 协议 IT» ,这 里 也 的 
通信 信道 是 广播 的 ;最 后 应 用 后 编译 器 分 别 将 广播 信道 中 安全 的 协议 卫生 转化 为 标准 
的 点 到 点 信道 上 安全 的 协议 也 EL IL. 

下 面 首先 讨论 前 编译 器 问题 。 

命题 6.10 假设 存在 加 强 陷 门 置换 族 , 则 任意 m 元 功能 函数 都 能 够 在 广播 通信 模型 中 
保密 计算 。 

证 明 令 了 是 一 个 元 功能 函数 , 荆 是 点 到 点 通信 模型 中 保密 计算 了 的 协议 。 给 定 一 
个 陷 门 置换 ,可 以 构造 安全 的 公 钥 加 密 方案 ,利用 此 加 密 方案 设计 协议 区 在 广播 信道 模型 
中 保密 计算 太 。 王 "中 每 个 参与 方 生成 一 对 加 密 BEA ,将 加 密 密 钥 广播 。 若 依 协议 IAB 
令 任 意 参 与 方 要 发 送 消息 w 给 第 i 方 , 则 利用 第 i 方 广播 的 加 密 密 钥 加 密 消息 ,将 密 文 广 
播 ,第 i 方 应 用 解密 密 钥 恢 复 消息 w, 并 按照 协议 指令 继续 执行 。 对 于 协议 IT ,模拟 器 算法 
S' 设 计 如 下 ,由 于 区 是 点 到 点 通信 模型 中 保密 计算 f 的 协议 ,因此 存在 模拟 器 算法 S 能 够 
模拟 出 协议 区 的 视图 ,S' 利 用 S 产生 工 的 视图 ,之 后 对 于 敌手 控制 的 半 诚 实 方 发 送 和 收 到 
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的 消息 ,因为 SARAR 3 A eS! BD. R 
于 S' 不 知道 的 , 即 S 不 能 产生 出 来 的 诚实 方 之 间 传 递 的 消息 ,S' 生 成 对 于 任意 消息 比如 全 
零 串 的 加 密 ,这 样 就 完成 了 对 于 协议 正视 图 的 模拟 。 如 果 能 够 区 分 三 的 视图 与 S “的 输出 ， 
那么 或 者 能 够 区 分 五 的 视图 与 S 的 输出 ,或 者 区 分 真实 消息 和 任意 选 定 消息 的 加 密 , 这 两 
种 情况 都 不 可 能 ,因此 命题 得 证 。 

接 下 来 讨论 后 编译 器 问题 。 所 谓 后 编译 器 是 指 将 广播 模型 中 的 协议 转化 成 点 到 点 模型 
中 的 协议 。 给 定 两 类 恶意 模型 中 的 一 个 安全 计算 某 个 功能 函数 的 协议 ,此 协议 的 通信 信道 
是 广播 的 ,通过 后 编译 器 将 它 转化 成 点 到 点 模型 中 的 安全 协议 ,因此 要 完成 的 任务 是 在 有 恶 
意 参 与 方 存在 的 情况 下 ,在 点 到 点 的 通信 信道 上 实现 广播 的 功能 ,问题 归 约 到 解决 认证 拜 占 
庭 协商 问题 。 

认证 拜占庭 协商 问题 是 指 第 一 方 有 输入 比特 o» 目标 是 使 所 有 诚实 参与 方 就 c 的 值 达成 
一 致 , 若 第 一 方 诚实 , 则 所 有 诚实 参与 方 达成 一 致 的 值 是 c; 而 若 第 一 方 不 诚实 , 则 所 有 诚实 
参与 方 也 能 够 达成 一 致 ,不 过 这 时 达成 一 致 的 值 可 能 不 是 c。 这 里 解决 认证 拜占庭 协商 问 
题 的 基础 是 同步 的 点 到 点 的 通信 模型 和 签名 基础 设施 , 即 每 个 参与 方 知道 其 他 参与 方 的 验 
证 密 钥 。 

为 叙述 方便 ,引入 (zi 认证 消息 的 概念 。 如 果 一 个 消息 具有 形式 (us rosy) ,其 中 
加 一 1, 其 他 所 有 的 p, 互 不 相同 ,并 对 每 一 个 7 一 1,… 尖 串 s 是 关联 于 第 p; 方 的 验证 密 钥 
IE Coss, ,… ,ss,_, ) 的 签名 , 则 称 此 消息 是 (v, 站 认证 的 ,也 称 (v,i) 认 证 消息 。 

协议 6. 13( 认 证 拜占庭 协商 ) 

设 m 表示 参与 方 个 数 。 假 定 所 使 用 的 签名 算法 的 签名 长 度 只 依赖 于 安全 参数 ,而 不 依 
赖 于 被 签 消息 的 长 度 。 

阶段 1: 第 1 方 签名 他 的 输入 ,并 将 得 到 的 输入 -签名 对 发 送 给 所 有 其 他 参与 方 。 第 
1 方 有 可 能 在 此 结束 协议 。 

阶段 i(i=2,3,…,m): 每 个 诚实 的 参与 方 (除了 第 1 方 ) 检 查 他 在 第 ;一 1 阶段 收 到 的 
消息 ,并 转发 他 所 收 到 的 第 (。 ,i 一 1) 认 证 签名 版 本 。 具 体 来 讲 , 对 每 一 个 vc€ {0,1} ,如 果 第 
j 方 已 经 收 到 了 一 个 (v,i 一 1) 认 证 消息 (v,ss,，…，,s。_, ) 满 足 所 有 的 ps 都 不 同 于 j, 则 他 把 
签名 附 到 消息 上 ,并 发 送 所 得 的 结果 (vi 认证 消息 给 所 有 的 参与 方 。 

这 里 强调 ,对 每 一 个 的 值 ,第 j 方 至 多 发 送 一 个 (v,i) 认 证 消息 给 所 有 的 参与 方 。 实 
际 上 ,对 某 个 i 过 i, 如 果 他 已 经 发 送 了 (v,i”) 认 证 消息 ,就 不 必 再 发 送 (v, 让 认证 消息 。 

输出 : 每 个 诚实 的 参与 方 (除了 第 1 方 ) 按 下 列 方式 输出 : 

CD. WRI iosi ELmj( 未 必 不 同 ) ,他 既 收 到 了 一 个 (0,i) 认 证 消息 ,又 收 到 了 一 个 
〈1,n) 认 证 消息 , 则 他 断定 第 1 方 是 恶意 的 ,并 输出 错误 标志 上 。 

(2) 如 果 对 一 个 ve (0.1) MET is filiis] T — Co Di EI E. , 则 输出 vo 

(3) 如 果 对 任意 的 v€E (0. 1) A i fli CR CRI m A Cos DIA IET S. , 则 他 断定 第 1 方 是 恶 
意 的 ,并 输出 错误 标志 .| 。 

显然 ,在 协议 6. 13 中 , 当 第 1 方 以 输入 v 开 始 执行 协议 时 ,在 阶段 1, 他 给 每 一 个 参与 
方 发 送 一 个 (v,1) 认 证 消息 。 对 每 一 个 >2, 如 果 (v,s,,… ,ss ECO D VGEN MU Coss, enn 
5, 1) 是 (v,i 一 1) 认 证 的 。 

下 面 以 认证 拜占庭 协商 为 基本 模块 来 解决 后 编译 器 问题 。 
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命题 6.11( 后 编译 器 ) ”假设 单 向 函数 存在 。 若 存在 公 钥 基础 设施 , 则 任意 恶意 广播 模 
型 中 能 够 被 安全 计算 的 mm 元 功能 函数 ,也 能 够 在 点 到 点 的 恶意 模型 中 安全 计算 。 

WEBB 首先 将 广播 模型 中 的 协议 转化 成 点 到 点 模型 中 的 协议 ,转化 方式 是 原 协 议 中 发 
送 的 每 一 个 广播 消息 ,用 认证 拜占庭 协商 协议 替换 ,以 实现 点 到 点 的 等 价 协议 。 安 全 性 证 明 
是 将 攻击 点 到 点 协议 的 任意 实际 敌手 ,转化 成 相应 的 攻击 广播 信道 中 协议 的 实际 敌手 ,因为 
广播 信道 中 的 协议 是 安全 的 ,从 而 点 到 点 信道 中 的 协议 是 安全 的 。 具 体 地 ,除了 通信 模型 改 
变 , 敌 手 其 他 攻击 不 变 , 而 广播 信道 上 广播 的 任何 一 个 消息 都 以 认证 拜占庭 协商 协议 的 执行 
所 蔡 代 ,根据 签名 方案 的 不 可 伪造 性 质 ,保证 所 有 诚实 方 收 到 相同 的 消息 ,这 与 广播 信道 的 
功能 一 致 ,从 而 命题 得 证 。 

根据 前 编译 器 和 后 编译 器 的 功能 ,以 下 讨论 协议 的 安全 性 时 ,不 再 考虑 通信 模型 。 为 了 
表示 简单 ,都 假设 通信 信道 是 广播 的 , 即 所 有 的 诚实 方 收 到 同样 的 消息 , 若 此 消息 是 诚实 方 
发 送 的 , 则 所 有 诚实 方 收 到 同样 的 值 , 若 此 消息 是 敌手 控制 的 参与 方 发 送 的 , 则 所 有 诚实 方 
收 到 同样 的 值 或 者 同样 检测 出 欺骗 ,中 断 执行 。 总 之 ,对 于 任 一 个 消息 ,所 有 的 诚实 方 都 能 
够 达成 一 致意 见 。 


6.4.4 第 一 类 编译 器 


第 一 类 编译 器 的 构造 方式 基本 类 似 于 两 方 情形 ,只 不 过 是 将 两 方 情形 的 编译 器 调用 的 
两 方 功能 函数 替换 成 m 元 功能 函数 ,有 与 两 方 情形 完全 相同 的 归 约 定理 ,此 处 不 再 装 述 。 
注意 当前 讨论 协议 的 通信 信道 是 广播 的 ,对 于 搭 线 窃 听 的 敌手 来 说 ,不 通过 控制 参与 方 只 是 
通过 广播 信道 就 能 够 窃听 到 消息 。 为 了 抵抗 这 种 敌手 的 攻击 ,需要 以 下 多 方 特有 的 秘密 广 
播 功 能 函数 : (a,1",… ,1 ) 瞩 (a,a,…,a)。 假 设 陷 门 置换 存在 , 则 可 以 构造 公 钥 加 密 方 
案 , 第 一 方 利用 其 他 参与 方 的 公 钥 分 别 对 a 加 密 并 且 广 播 出 去 ,为 避免 恶意 的 第 一 方向 不 同 
的 参与 方 发 送 不 同 的 消息 ,利用 认证 拜占庭 协商 协议 传递 加 密 后 的 密 文 。 第 一 类 编译 器 需 
要 的 功能 函数 分 别 是 多 方 输入 承诺 功能 函数 ,多 方 扩展 掷 币 功 能 函数 以 及 多 方 认证 计算 功 
能 函数 ,其 中 多 方 认 证 计算 功能 函数 要 利用 多 方 像 传输 功能 函数 实现 。 

多 方 像 传输 功能 函数 :(a,1" ,…,11") 一 (4,f(a),…,f(a))。 关 于 多 方 像 传 输 功能 函 
数 的 安全 实现 意味 着 或 者 所 有 参与 方 得 到 同样 的 函数 值 或 者 检测 出 第 一 方 欺骗 ,这 样 所 有 
的 诚实 方 关于 第 一 方 的 行为 达成 一 致 。 

协议 6.14( 多 方 像 传输 协议 ) 令 关 系 R={(v,w) :v==f(w))。 

输入 : 第 一 方 输入 是 a€ (0,1) * ,其 他 参与 方 的 输入 是 11" 。 

COD 第 一 方 秘密 广播 v= 二 f(a)。 

(2) 对 于 i 二 2,…,m, 第 一 方 和 第 i 方 调用 关系 R 的 零 知 识 强 知识 证 明 系 统 (P,V), 第 
一 方 作为 证 明 者 ,第 i 方 作为 验证 者 。 证 明 系 统 的 公共 输入 是 v, 证 明 者 的 辅助 输入 是 a, 要 
向 验证 者 证 明 他 知道 w, 使 得 (v,w) ER。 一 旦 验证 者 拒绝 证 明 , 第 i 方 广 播 他 在 证 明 中 应 
用 的 随机 带 , 使 得 其 他 参与 方 确信 第 i 方 是 合理 拒绝 证 明 。 

输出 : 对 于 i 二 2,…,m, 若 第 i 方 收 到 一 个 合理 拒绝 , 则 输出 | ,否则 输出 v. 

命题 6.12 假设 证 明 系 统 (P,V) 是 关系 R=({(v.w) v= fw) ) GR AAS ARE 
明 系 统 , 则 协议 6. 14 安全 计算 像 传 输 功能 函数 。 

证 明 证 明 是 两 方 情形 的 自然 推广 。 将 实际 协议 中 敌手 控制 的 参与 方 集合 记 为 工 ,并 
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TE 2888 Bir A EE LE RE FEAR A. I= CORE RD EH SE. 
协议 6.14 BEREH. IAOH. AAMT. 

第 一 方 诚 实 , 即 1 人 IT。 在 这 种 情形 下 ,算法 B 的 具体 设计 如 下 : B 代表 了 中 每 个 参与 
方 ,发 送 输入 1" 给 可 信 方 并 得 到 输出 v。 对 于 12. m B 调用 零 知 识 证 明 系 统 的 模拟 
器 算法 ,提供 给 模拟 器 的 输入 是 v, 将 A 作为 恶意 的 验证 者 算法 ,一 个 模拟 过 程 结束 ,将 模拟 
过 程 交 给 A, 这 部 分 模拟 视图 记 为 5 二 S(v)。B 将 视图 (v,S) 给 A, 并 以 A 的 输出 作为 输 
出 。 实 际 协议 的 敌手 的 输出 与 理想 模型 的 敌手 的 输出 是 计算 不 可 区 分 的 ,这 是 由 零 知 识 证 
明 模 拟 器 的 性 质 直 接 保证 的 ,而 对 于 诚实 方 来 说 ,在 实际 协议 和 理想 模型 中 的 输出 都 是 
v= f Ca) ,因此 这 两 个 随机 变量 是 计算 不 可 区 分 的 。 

第 一 方 不 诚实 , 即 1E I。 在 这 种 情形 下 ,算法 B 的 具体 设计 如 下 : B 获得 输入 
a€ (0,1)^ . B 以 输入 a 调用 A, 记 A 发 出 的 消息 为 w, 即 vA (a) «B 试图 获得 v 在 f 下 的 原 
像 ,确切 地 讲 ,B 应 用 此 证 明 系统 的 知识 抽取 器 抽取 出 串 we ,使 得 f(w) 二 wv, 此 抽取 器 对 于 
| 了 | 个 证 明 系统 尝试 抽取 ,车 抽取 器 成 功 ,B 令 a 二 w; 否 则 ,B 令 a =|. HER BEAM 
A 在 第 (2) 步 的 视图 ,对 于 每 个 iET,B 充当 诚实 的 验证 者 与 A 交互 , 若 m 一 1 个 被 模仿 的 验 
证 者 中 有 一 个 合理 拒绝 , 则 B 中 断 ,并 将 A 的 输出 作为 自己 的 输出 ;车 被 模仿 的 验证 者 都 接 
受 A 的 证 明 , 分 成 以 下 两 种 情况 : 

(OD 3 a' AL WW B 发 送 a' 给 可 信 方 并 允许 可 信 方 回答 诚实 方 ,注意 此 时 给 诚实 方 的 回 
答 是 fla’). 

(2) #0’ =|. B 中 断 。 最 后 B 将 执行 视图 发 送 给 A 并 将 A 的 输出 作为 自己 的 
输出 。 

与 两 方 情形 相同 ,实际 协议 的 执行 与 理想 模型 的 模拟 二 者 之 间 的 差别 仅 在 于 ,攻击 实际 
协议 的 敌手 A 成 功 地 使 验证 者 确信 A 知道 v 在 f 下 的 原 像 ,然而 知识 抽取 器 没有 能 够 抽取 
出 这 个 原 像 。 而 根据 知识 的 零 知 识 证 明定 义 ,A 说 服 验 证 者 并 且 知 识 抽取 器 失败 的 概率 是 
可 忽略 的 ,因此 以 上 两 个 随机 变量 是 统计 不 可 区 分 的 。 

在 像 传 输 功能 函数 的 基础 上 ,通过 以 下 协议 6. 15 可 以 实现 认证 计算 功能 函数 。 

协议 6.15( 多 方 认 证 计算 ) 

输入 : 第 一 方 输入 是 a€ {0,1)" ,其 他 参与 方 输入 是 BE (0,1), 

(1) 第 一 方 应 用 像 传输 功能 函数 发 送 (u,v) 二 (h(a) ,f(a)) 给 其 他 参与 方 。 

(2) 其 他 参与 方 收 到 (u,v) 后 ,车 u— B. , 则 输出 wv; 否则 ,输出 (u,v)。 

输出 : 第 一 方 没有 输出 ,其 他 参与 方 若 没有 中 断 , 则 输出 如 第 (2) 步 。 

协议 6. 15 的 安全 性 证 明 是 两 方 情 形 命题 6.6 的 自然 推广 ,此 处 省 略 。 

第 一 类 编译 器 中 要 强制 各 个 参与 方 使 用 均匀 分 布 的 随机 串 ,类似 于 两 方 情形 ,此 处 应 用 
多 方 扩展 掷 币 功能 函数 达到 这 一 目的 ,以 下 的 协议 6. 16 安全 计算 多 方 扩展 搓 币 功能 函数 ， 
安全 性 证 明 沿 袭 两 方 扩展 掷 币 功能 函数 的 证 明 思 想 e C ABA BEER 

协议 6.16 BC 是 一 个 承诺 方案 , 且 Cn r Corso. =(C, (ard 0, (01))。 

HA: 每 个 参与 方 获得 的 输入 都 是 安全 参数 1" ,并 设 =La). 

(1) 对 于 i=1, m8 HEM; € (0,1) 85€ (0,17, 

(2) 对 于 i— 1, om Bi He LAGE D RE BRIE c; —C, (7;) 给 其 他 参与 方 。 

(3) 对 于 i 二 2,…,m, 第 i 方 应 用 认证 计算 功能 函数 发 送 7; 给 其 他 参与 方 。 若 第 i 方 中 
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断 或 第 7 方 没有 获得 期 望 输出 , 则 第 7 方 中 断 并 输出 | ;否则 ,第 j 方 得 到 认证 计算 功能 函 
数 的 输出 ri, 且 置 ri nO (BE GG TL id rrj. 

(4) 若 第 一 方 未 中 断 , 则 利用 认证 计算 功能 函数 发 送 (Onr ARSS. 确切 
地 讲 , 对 于 j— len m8 ; WS n — Qr. BBS r=n Or’ WHA Cosor 
j 方 以 输入 (ci,r) 调 用 认证 计算 功能 函数 ,其 中 第 j 方 的 输入 与 第 一 方 输入 关系 应 满足 
AG ssi r2 =C, (nm),r), 第 j 方 期 望 获得 f(r,s ,rn =e Or!) BB Fw RE 
j 方 从 认证 计算 功能 函数 获得 形 如 (CC, Gn n0 gs Or )) B E UAR j 2; IE 
出 上 。 

输出 : 第 一 方 输出 7, 第 二 方 输出 在 第 (4) 步 确定 ,或 者 是 g(r) 或 者 是 | 。 

第 一 类 编译 器 也 要 用 到 输入 承诺 功能 函数 。m 方 输入 承诺 功能 函数 : 
Cay Ll yee 11) ERGO, Cx) C, G0 EB r dE (0,1) "上 均匀 分 布 ,将 两 方 协议 6. 9 
中 ,对 于 认证 计算 功能 函数 和 扩展 撕 币 功能 函数 的 调用 , 改 为 对 于 相应 的 多 方 功能 函数 的 调 
用 , 即 可 安全 实现 输入 承诺 功能 函数 。 

第 一 类 编译 器 的 工作 方式 是 ,给 定 一 个 半 诚 实 模型 中 安全 的 x 方 协 议 荆 ,生成 第 一 类 
恶意 模型 中 的 m HON A 完成 同样 的 功能 。 具 体 实现 方式 是 ,将 协议 6. 10 构造 方 
式 中 调用 的 功能 函数 替换 成 相应 的 多 方 功能 函数 , 即 得 到 第 一 类 恶意 模型 下 安全 的 m 方 协 
uum. 

6.4.5 第 二 类 编译 器 


第 二 类 编译 器 可 以 避免 协议 被 中 断 执 行 ,本 小 节 的 目的 是 将 在 第 一 类 恶意 模型 中 安全 
实现 某 个 功能 的 协议 ,变换 成 在 第 二 类 恶意 模型 中 安全 实现 同样 功能 的 协议 。 当 前 所 用 的 
编译 器 与 两 方 情形 有 很 大 不 同 ,主要 工具 是 可 验证 秘密 共享 方案 ,其 详细 讨论 参见 本 书 7.7 
节 。 下 面 的 协议 6. 17 是 第 二 类 编译 器 的 构造 。 

协议 6. 17( 第 二 类 多 方 编译 器 ) — Ub :<m/2, 给 定 一 个 第 一 类 恶意 模型 中 的 m 方 协议 
卫 , 按 以 下 方式 产生 第 二 类 恶意 模型 中 的 m FANI 

输入 : 第 i 方 的 输入 是 zx'E (0,1)". 

随机 带 : 第 i 方 均 匀 选 择 随机 带 x*€ (0,1), 

分 享 阶段 : 每 一 方 利 用 可 验证 秘密 共享 方案 ,将 自己 的 输入 和 随机 带 与 其 他 参与 方 分 
享 。 即 对 于 i 二 1,…,m, 第 i 方 以 输入 zir' 调用 可 验证 秘密 共享 方案 ,第 i 方 从 可 验证 秘密 
共享 方案 中 获得 的 输出 是 (5 ,5 ) ,其 他 的 如 第 j Tr IRAE GP gj cO EA = Csi yey sn) 一 
Gna Car!) p! 二 (pi，… ,pi) 是 均匀 分 布 的 ,5' 二 (ci etc) Ack =Cy GU HER: 这 里 所 有 
诚实 方 获得 正确 的 分 享 结 果 或 者 觉察 第 i 方 欺骗 , 若 觉 察 出 欺骗 , 则 诚实 方 将 分 享 结果 设 置 
AL. 

中 断 处 理 : 若 第 i 方 被 觉察 出 欺骗 , 则 诚实 方 将 第 i 方 的 输入 和 随机 带 设置 为 某 个 值 。 

协议 执行 阶段 : 参与 方 利用 认证 计算 功能 函数 模仿 协议 工 每 一 步 的 执行 。 假 设 当 前 步 
又 是 第 i 方 发 送 消 息 。 调 用 认证 计算 功能 函数 的 输入 以 及 函数 h、f 定义 如 下 。 设 
a— Cai saz) sar = (a'r 5°60") yas 是 执行 到 当前 步骤 所 发 送 的 消息 序列 。pB; —9— C a2) sa: 
MEREN, KÉ h ELH hlz, Css Sp) ri ot se) Y= (C9 GO ,Cn G0. 
函数 了 定义 为 当前 步 又 第 i 方 要 发 送 的 消息 。 
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中 断 处 理 : 若 某 个 参与 方 充当 调用 认证 计算 功能 函数 的 发 起 方 时 中 断 , 则 其 他 参与 方 
广播 在 分 享 阶段 获得 的 他 的 输入 和 随机 带 的 分 享 值 , 重 构 出 输入 及 随机 带 。 
输出 : 每 个 参与 方 持 有 即 为 此 参与 方 在 协议 也 中 的 输出 ,直接 输出 。 


6.5 小 结 


本 章 介绍 的 安全 多 方 计算 的 主要 结论 来 自 于 文献 [2] 和 [3]。 敌 手 模型 是 可 以 搭 线 窃听 
所 有 的 通信 信道 ,敌手 攻击 能 力 是 非 自 适应 的 、 恶 意 的 ,并 且 是 计算 有 界 的 。 对 于 其 他 类 型 
的 敌手 也 有 重要 的 结果 。 例 如 ,关于 协议 的 公平 性 , 自 适应 敌手 以 及 协议 并 发 安全 性 都 有 大 
量 文献 涉及 。 

在 6. 2 节 中 曾 指出 ,不 存在 完全 公平 的 两 方 协议 , 即 不 能 保证 两 方 都 获得 输出 结果 。 尽 
管 如 此 ,仍然 可 以 放松 对 于 完全 公平 性 的 要 求 , 达到 某 种 部 分 公平 性 ,具体 的 定义 和 协议 构 
造 可 参见 文献 [4]。 自 适应 敌手 比 非 自 适应 敌手 的 攻击 能 力 更 强 , 关 于 自 适应 模型 安全 性 可 
参见 文献 [5] 和 [6]。 

本 章 讨论 的 协议 可 以 顺序 复合 ,一 个 自然 的 问题 是 是 否 能 够 并 发 复合 。 关 于 协议 并 发 
复合 安全 性 是 当前 国际 上 的 热点 研究 问题 ,更 一 般 的 提 法 是 协议 是 否 能 够 普 适 复合 ,已 有 大 
量 的 结论 ,这 方面 的 工作 可 参见 文献 [7] 一 [9] 。 

本 章 在 写作 过 程 中 得 到 了 徐 海 霞 副 教授 的 大 力 支持 ,她 提供 了 大 量 的 相关 材料 及 她 的 
一 些 理解 ,作者 在 此 表示 囊 心 的 感谢 。 
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第 3 篇 基础 安全 协议 


基础 安全 协议 主要 是 指 与 具体 实际 应 用 无 关 的 一 类 基础 协议 ,是 设计 应 用 安全 协议 或 
其 他 大 型 安全 协议 的 基础 。 本 篇 主要 介绍 秘密 共享 、 数 字 签 名 、 身 份 识别 、 密 钥 交 换 、 健 忘 传 
输 、 公 平 交换 等 几 大 类 基础 安全 协议 以 及 一 些 常用 的 攻击 基础 安全 协议 的 方法 。 


3E 7 E 秘密 共享 大 到 


秘密 共享 协议 本 质 上 是 一 种 简单 的 安全 多 方 计算 协议 ,是 构建 各 类 安全 协议 的 基础 模 
块 ,如 利用 秘密 共享 协议 可 设计 出 各 种 类 型 的 门限 数字 签名 协议 。 特 别 是 秘密 共享 的 基本 
思想 在 信息 系统 安全 中 有 着 极其 重要 的 应 用 价值 ,如 利用 这 种 思想 或 技术 可 增强 数字 认证 
系统 CA 和 数据 库 系统 的 安全 性 。 

目前 已 利用 各 种 方法 诸如 代数 方法 ,组 合 方法 和 几何 方法 构造 出 了 大 量 的 适应 于 各 种 
不 同 环境 的 秘密 共享 协议 ,如 基本 的 秘密 共享 协议 黑箱 秘密 共享 协议 ,多 重 秘 密 共享 协议 、 
可 验证 的 秘密 共享 协议 及 前 摄 秘密 共享 协议 。 也 有 很 多 讨论 秘密 共享 协议 的 有 效 性 和 结构 
等 的 研究 论文 。 本 章 主要 介绍 几 类 典型 的 秘密 共享 协议 。 


7.1 ”秘密 共享 的 基本 思想 


先 用 一 个 例子 来 说 明 秘密 共享 的 基本 思想 和 观点 。 例 如 ,存储 在 系统 中 的 所 有 密 钥 的 
安全 性 (从 而 整个 系统 的 安全 性 ) 可 能 最 终 取 决 于 一 个 主 密 钥 。 但 这 样 做 有 两 个 缺陷 : 一 是 
若 主 密 钥 偶 然 地 或 蓄意 地 被 暴露 ,整个 系统 就 易 受 攻击 ;二 是 若 主 密 钥 丢失 或 毁坏 ,系统 中 
的 所 有 信息 就 用 不 成 了 。 后 一 个 问题 可 通过 将 密 钥 的 副本 发 给 信得过 的 用 户 来 解决 。 但 这 
样 做 的 话 , 系 统 对 背叛 行为 又 无 法 对 付 。 解 决 这 两 个 问题 的 一 个 办 法 就 是 使 用 秘密 共享 
协议 。 

秘密 共享 协议 的 基本 思想 是 将 密 钥 按 下 述 方式 分 成 nn POPE ki s Ka kn: 

(D 已 知 任意 上 个 大 值 易于 计算 出 大 。 

(2) 已 知 任意 :一 1 个 或 更 少 个 k;, 则 由 于 信息 短缺 而 不 能 计算 出 eu 
这 种 方法 也 称 为 (t,n) 门 限 法 ,对 应 的 序列 kas koste kn 称 为 (1,n) 门 限 序列 。 

Hen PDE Khe k, 分 给 n 个 用 户 。 由 于 重 构 密 钥 至 少 需 要 t 个 分 享 , 故 暴 露 
SGst 一 1]) 个 分 享 不 会 危及 密 钥 ,从 而 少 于 上 个 用 户 的 共 谋 不 能 得 到 密 钥 。 同 时 , 若 一 个 分 
享 被 丢失 或 毁坏 , 仍 可 恢复 密 钥 (只 要 至 少 有 上 个 有 效 的 分 享 ) 。 这 种 方法 也 可 用 于 保护 任 
何 类 型 的 数据 。 


7.2 基本 的 秘密 共享 协议 


本 节 介 绍 两 个 最 基本 的 秘密 共享 协议 , 即 Shamir 秘密 共享 协议 和 Asmuth-Bloom 秘密 
共享 协议 。 基 本 的 秘密 共享 协议 是 其 他 秘密 共享 协议 的 核心 基础 ,也 是 构造 其 他 安全 协议 
或 安全 方案 的 基本 工具 。 


7.2.1 Shamir 秘密 共享 协议 
Shamir 于 1979 年 基于 拉 格 朗 日 插值 公式 提出 了 一 个 秘密 共享 协议 中 ,也 称 为 
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门限 方案 。 

首先 介绍 一 下 拉 格 朗 日 插值 公式 。 设 p 是 素数 ,xz nnn EZ, 中 不 同 的 元 素 , 设 
yy EZ, 中 的 元 素 (未 必 不 同 ) 。 则 存在 次 数 至 多 为 1 一 1 的 唯一 的 多 项 式 ACz)E 
Z, La], flf h Cr) — yit 并 且 多 项 式 h(z) 为 


上 述 公式 很 容易 证 明 , 留 给 读者 作为 练习 自行 完成 。 

假定 p 是 一 个 素数 ,共享 的 秘密 (也 称 为 共享 秘密 )kEK 二 2Z,。 可 信 中 心 TA 给 n(n<p) 
个 分 享 者 Pi:(1<<i<n) 分 配 分 享 的 过 程 如 下 。 

(D TA 随机 选择 一 个 1 一 1 次 多 项 式 A(x) Sair + +a ta EZ, [x]. Te HI 
a=k., 

(2) TA f£ Z, 中 选择 n 个 非 零 的 、 互 不 相同 的 元 素 zi ,zs,，…，,z，* 计 算 yi = hi Cr), 
1<i<n, 

(3) TA 将 (zi,yi) (Lio) 4 BA AE ER POLL in) Ln; 是 公开 知道 的 ,yi 作为 
P, 的 秘密 分 享 。 

每 个 数 对 (zx;,y;) 是 “曲线 ”h(z) 上 的 一 个 点 。 因 为 t 个 点 唯一 地 确定 + 一 1 次 多 项 式 
h(x), 所 以 上 可 以 从 zt 个 分 享 重 构 出 。 但 是 从 (ti 一) 个 分 享 无 法 确定 h(x), 从 而 无 法 确 
xk. 

给 定 上 个 分 享 y; Ox O ,从 拉 格 朗 日 插值 公式 重 构 的 h(z) 为 


aic | 2 
运算 都 是 Z, 上 的 运算 即 模 p 运算 
一 旦 知道 &Cz), 通 过 天 一 4(0) 易 于 计算 出 秘密 上。 因为 上 = AC) = Sty, TI 


BE Nae 
ICA. 11 — , 则 上 二 h(0) = My, o BUR a Ocio MUT 
MES UR aa = 
知道 的 ,所 以 可 预计 算 5.(1<s<n) 以 加 快 重 构 秘密 的 运算 速度 。 
7.2.2 Asmuth-Bloom 秘密 共享 协议 


Asmuth 和 Bloom F 1980 年 基于 中 国 剩 余 定理 提出 了 一 个 秘密 共享 协议 '”。 在 他 们 
的 协议 中 ,分 享 是 和 共享 秘密 相 联 系 的 一 个 数 的 某 些 同 余 类 。 令 p,di,…,d, 是 协议 中 
公开 的 一 组 数 ,它们 满足 下 列 条 件 : 

OD pk. 

(2) di «d, <" <d, o 

(3) MATA BS i gedCp. d.) —1;X ij. gcd(d;.d;) —1. 

(4) didi dl 全 bd rd。 

& N=d,d,--d,,N/p 大 于 任意 1 一 1 个 d; 之 积 ,r 是 区 域 [0,N/p 一 1j 中 的 一 个 随机 整 
数 。 计 算 k= 二 上 十 rp,k'E[0,N 一 1]。n 个 分 享 为 : 


Fer 
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k;— k' mod d; ,i—1,2,-- ,n, 共 享 秘密 上 可 以 由 任意 t 个 分 享 重 新 恢复 。 
为 了 恢复 ,找到 大 /就 足够 了 ,因为 从 rcp RIDERE k— k'—rp. FAE t 个 分 享 
ky. ks , 则 由 中 国 剩余 定理 知 , 同 余 方 程 组 
k'z k; (mod di, ) 
= k;, (mod d; ) 


k' = k, (mod d;) 
在 [0,NN' 一 1] 内 有 唯一 解 ,将 它 记 作 工 , 这 里 N, =d; d, …d; 。 因 为 Ni 宇 N, 这 就 唯一 地 确 
SET k', k'—x mod N,0O<k’<N, 
若 仅 知道 :一 1 个 分 享 ki e ku ，*…,k;_，， 只 能 确定 k'— a mod N; ,这 里 0x< N: = 
d d,d; zz 是 上 一 1 个 分 享 确定 的 同 余 方程 的 解 。 由 此 只 能 确定 k' 的 取 值 集合 是 S, = 
{a+N2j:0<j<N/Nz}. TERE N/N.2 pi gedC p, N:) — LL BC S, 中 的 元 素 模 p 分 布 是 均 
匀 的 。 


7.3 一 般 存 取 结构 上 的 秘密 共享 协议 


在 7.2 节 介 绍 的 基本 秘密 共享 协议 中 ,n 个 参与 者 中 的 任意 k 个 都 可 以 恢复 秘密 ,因此 
nn 个 参与 者 的 权限 是 相同 的 。 但 在 实际 应 用 中 ,参与 者 的 职位 和 分 工 不 同 ,其 权限 往往 也 是 
不 同 的 ,并 不 是 任意 的 某 些 人 而 是 符合 特定 要 求 的 一 些 人 组 合 在 一 起 才 可 以 恢复 秘密 ,因此 
需要 考虑 一 般 情 况 下 的 秘密 共享 协议 。Ito 等 人 于 1987 年 提出 了 存 取 结构 的 概念 中 ,并 给 
出 了 一 般 存 取 结 构 上 的 秘密 共享 协议 。 本 节 主 要 介绍 Ito 等 人 构造 的 一 般 存 取 结 构 上 的 秘 
密 共享 协议 。 

一 般 地 ,在 一 个 秘密 共享 协议 中 , 设 秘密 为 ,参与 者 (也 称 参 与 方 、 分 享 者 ,本章 中 交替 
使 用 了 这 些 术 语 ) 集 合 为 P 二 {Pi,…,P,},27 为 P WRR, DRE D( 充 当 可 信 中 心 的 角 
色 ) 利 用 秘密 * 生成 n 个 秘密 分 享 ,分 别 为 yoy ,然后 将 y; 分 发 给 Pi。 设 已 一 (P，…， 
P SP, 如 果 P' 利 用 {y;，… vs )} 能 够 恢复 秘密 *, 则 称 已 为 一 个 授权 子 集 , 否 则 , 称 为 一 个 
非 授权 子 集 。 所 有 授权 子 集 组 成 的 集合 称 为 该 秘密 共享 协议 的 存 取 结 构 , 记 为 也, 同时 称 
二 2 一 本 为 敌手 结构 。 

如 果 P' 为 授权 子 集 , 则 任意 集合 P"(P'SP"SP) 也 是 授权 子 集 , 因 此 存 取 结 构 下 满足 
单调 性 (单调 上 升 ) BD 


Acer H AcA'cP, W Aer (7-1) 
由 于 本 满足 单调 性 ,因此 O= 2? — D te C.D 
Beo H B'CBcP. W Ben (7-2) 


对 于 任意 的 存 取 结构 也, 定义 极 小 授权 子 集 A € 为 满足 对 任意 的 A'CA,A’' € D 的 集 
f. TSE (Basis) D; 定义 为 所 有 极 小 授权 子 集 组 成 的 集合 。T 可 以 唯一 确定 卫 , 反 之 亦 
然 。 因 此 ,在 描述 本 时 ,只 需 给 出 T 即 可 。 

类 似 地 ,定义 极 大 非 授权 子 集 BE 0 为 满足 对 任意 的 B' 一 B,B'4 0 的 集合 , 极 大 敌手 
结构 Qu 为 所 有 极 大 非 授 权 子 集 组 成 的 集合 。 

文献 [3] 中 指出 ,任意 满足 式 (7-1) 的 参与 者 集合 的 子 集 族 都 可 以 作为 存 取 结构 。 下 面 


x RERE RESTR 


介绍 文献 [3] 中 构造 的 一 般 存 取 结构 上 的 秘密 共享 协议 ,也 称 为 多 分 配方 案 (Multiple 
Assignment Scheme) 。 

设 参 与 者 集合 为 P 一 {P,,…,P,}, 现 有 满足 式 (7-1) 的 子 集 族 TE ,将 构造 以 卫 为 存 
取 结 构 的 秘密 共享 协议 。Qw 为 极 大 敌手 结构 ,其 元 素 个 数 为 |2w| 一 上 。 方 便 起 见 ,不 妨 将 
Ow 记 作 Qv 王 {Bi,B,,…,B:}。 具 体 协议 如 下 。 

O) 选择 素数 p k<n<p, Hii IRE F, =Z. 

(2) 随机 选择 a, a1，… sar € Fy, FS a =s, WHE k—13YX ZÀNDX FCz) 一 ao 十 az 十 
ax? c de s. 

(3) 随机 选择 个 非 零 的 .不 同 元 素 aem ex CF, tH yi f(a) iSl, eke 

(4) BE S— (Gr y0:B; € Qu 1i k) Qu 与 S 存 在 一 一 对 应 的 关系 ,Qu 的 每 一 个 元 
素 都 对 应 着 S 中 的 一 个 二 元 组 。 

(5) 定义 映射 

8:P 一 25, 使 得 Sj— gC P) — (Gy) 1j k, P; EB; € Qu) Kin 

分 发 者 按照 映射 g 将 S; DRA POS ,作为 P; 的 秘密 分 享 。 现 在 来 说 明 上 述 由 
g. S 所 构造 的 秘密 共享 协议 的 存 取 结构 是 芽 。 

首先 说 明 授权 集 A 能 够 恢复 秘密 s. 

为 DuSO 一 2 一 有 ,所 以 对 每 个 B;E Qu ,肯定 存在 PEA, 使 得 P. € Bj,1<i<n,1< 
F< A A 拥有 的 秘密 分 享 满足 | US: |= k TERR 7. 2. 1 节 介 绍 的 秘密 恢复 方法 ,A 可 


以 恢复 秘密 ;。 

其 次 说 明 当 AET 时 ,A 无 法 确定 或 恢复 秘密 so 

由 于 AGT, 则 AEQ。 由 Qw 的 定义 ,存在 Bj€ Om. ACB. Fh S 的 定义 得 ， 
Gu y) € U S; BIA 拥有 的 秘密 分 享 数 至 多 为 k 一 1, 因 此 A 无 法 确定 或 恢复 秘密 ;。 


综 上 所 述 , 由 e. S 所 构造 的 秘密 共享 协议 的 存 取 结构 确实 是 荆 。 
上 述 协 议 表明 ,对 于 2? 上 任何 满足 式 (7-1) 的 集合 族 ,都 可 以 作为 一 个 存 取 结 构 , 存 在 
一 个 实现 这 个 存 取 结构 的 秘密 共享 协议 ,因而 一 般 存 取 结构 的 概念 是 有 实际 意义 的 。 


7.4 黑箱 秘密 共享 协议 


通常 的 秘密 共享 协议 都 是 建立 在 特定 的 秘密 空间 之 上 ,设计 协议 时 通常 是 事先 已 经 给 
定 了 相应 的 秘密 空间 ,然后 按照 存 取 结 构 进行 设计 。 但 是 在 某 些 秘密 共享 协议 的 应 用 环境 
中 ,有 可 能 并 不 知道 秘密 空间 的 相关 信息 或 者 了 解 到 的 信息 非常 有 限 。 例 如 ,在 基于 群 的 分 
布 式 密码 系统 中 ,并 不 知道 群 的 阶 , 而 仅仅 知道 它 是 一 个 有 限 群 。 为 此 ,Cramer 和 Fehr 提 
出 了 黑箱 秘密 共享 协议 来 解决 这 一 问题 中 。 本 节 主 要 介绍 Cramer 和 Fehr 构造 的 黑箱 秘 
密 共享 协议 。 

简单 地 讲 ,黑箱 秘密 共享 协议 与 通常 的 秘密 共享 协议 的 不 同 之 处 在 于 : 黑箱 秘密 共享 
协议 共享 的 秘密 空间 为 任意 的 有 限 交 换 群 G, 群 G 中 元 素 之 间 的 运算 以 及 秘密 分 享 生成 过 
程 中 随机 元 素 的 选取 都 以 黑箱 方式 调用 。 秘 密 和 秘密 分 享 都 取 值 于 G 而 协议 的 分 发 矩阵 
(Distribution Matrix) 和 重 构 向 量 (Reconstruction Vectors) 都 定义 在 整数 环 Z 上 , 且 与 G 独 
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立 无 关 。 

首先 给 出 黑箱 秘密 共享 协议 的 一 个 基本 定义 。 

设 P= 二 {Pi,… ,PP,) 为 参与 者 集合 ,为 P 上 的 存 取 结构 。R 为 含 单位 元 的 交换 环 LAB 
EMER” ,映射 p:{1,…,d}) 一 {Pi,…,P,) 为 满 射 。 称 M 的 第 j 行 标号 为 p(j) 或 者 “pg(j) 
拥有 第 j 行 "。 对 于 ACP,Ma HM 中 A 拥有 的 行 ,da 为 Ma 的 行 数 。 对 于 任意 AET, 设 
A CA) € R" 为 一 列 向 量 , 称 为 A 的 重 构 向 量 ,二 {4 CAD |A€ D). e 一 (1,0,…,0)"ER* 称 
为 目标 向 量 。M 王 (R,M,g,e ) 称 为 ( 环 R 上 的 ) 单 调 张 成 方案 ,简称 为 MSP (Monotone 
Span Program), WR R=Z, WRK M 为 整数 张 成 方案 ,简称 为 ISP (Integer Span 
Program), 

称 M=( .Mogve ) 是 也 上 的 黑箱 秘密 共享 协议 ,如 果 下 列 条 件 成 立 : Wb G 为 任意 的 
Abel 群 ( 这 里 以 加 法 群 为 例 ),ACP 为 任意 的 非 空 集合 。 对 于 任意 分 布 的 秘密 sEG, 设 g= 
Gn eT 均匀 分 布 于 G' ,gi 二 s。 定 义 s 一 Mg。 则 

(1) TEHE. WR AET, 则 MIA CA) —e 。 即 恢复 秘密 时 STA CAD — CMag)'A (A) = 
g "MM CA) —s 以 概率 1 成立, 其 中 X CAD € RA A 的 重 构 向 量 。 

(2) 秘密 性 。 如 果 AED, METE = Ga e)! € ker M, ,其 中 «一 1。 也 就 是 说 ,要 
保证 sa KE s 的 任何 信息 , 即 H(s|sa) 二 0。 

引 理 7.1 设 f(X)EZ[X] 为 一 首 1 不 可 约 多 项 式 ,m 一 deg(f)。 考 虑 环 
R—C[X]/CFOO0 E M==(R,M,g,e) 为 定义 在 R 上 的 TT 上 的 MSP. WA ET EY 
ISP M=( ,M,ĝ,ê) H. size(M)=m * size(M). 

引 理 7. 1 AER LR D. Ef] MSP 的 定义 可 参阅 文献 [4]。 

由 引 理 7. 1 可 知 ,构造 下 上 的 黑箱 秘密 共享 协议 只 需 构造 出 愉 上 的 MSP 即 可 。 

下 面 简要 介绍 Cramer 和 Fehr 给 出 的 门限 存 取 结构 D.n ,上 的 一 个 黑箱 秘密 共享 协议 ， 
K'BD.—GCPIIAIZ0. 

dt G 为 加 法 交换 群 , 秘 密 * 均 取 自 于 G。 对 于 :一 1 和 t=n 这 两 种 平凡 情况 ,可 简单 地 
做 以 下 处 理 。 

(1) 当 三 1 时 ,P 中 的 任意 一 个 人 都 可 以 独自 恢复 秘密 ,这 时 直接 将 s 作为 每 个 人 的 
秘密 分 享 进行 分 发 即 可 。 

(2) 24 t—n ht, P 中 所 有 的 2 个 人 联合 才 可 以 恢复 秘密 *, 此 时 随机 选取 syn EG, 


使 得 Dy 一 。, 将 9, 分 发 给 PG Lavon) ,作为 他 的 秘密 分 享 即 可 。 


下 面 考虑 1<t<n 的 情况 。 

设 尺 为 含 单位 元 的 交换 环 ,首先 来 构造 定义 在 尺 上 的 门限 存 取 结构 T,., 对 应 的 MSP, 
进而 找 出 R 所 需 具备 的 性 质 , 然 后 再 构造 满足 该 性 质 的 环 R。 

对 任意 的 mx, ER, 定 义 


n 2 tee a 
AC tm) 一 IE: . I (zi 一石 ) = pes E = 
| 


1<j<i<n 


tw REMH 理论 与 实践 


假设 存在 a1，… ,a, ER 以 及 ro ,ri ER, 使 得 
ro * ACL yn)? nt AQ stt san)? = 1 
4 A, =A, m ER, A —A(C; st ,a,) € REIR VA F ABE: 


[^ 1 2 17] 
xe ITI 
le nt om on] 

[Ar a a a] 

Re A a o aj! ER" 
A a 0 a, 


NON 第 i 行 的 标号 为 P;。 

对 任意 的 A € Tans Nos Ni 均 存 在 ks = Cons cn ku! € ker Na, 其 中 kw = 
1 (Na (5 二 0,1) 表 示 A HEN, 中 所 对 应 的 行 )。 而 对 任意 的 AE T,,,, (Ai,0,…,0)E 
span(NoA)ER',(Ai,0,…,0)Espan(NA)ER'。 根 据 Cramer 法 则 和 Vandermonde 行列 
式 的 性 质 容易 验证 上 面 的 结论 。 

在 Nm 、N 的 基础 上 ,定义 一 个 新 的 单调 张 成 方案 的 矩阵 ME RP, 
1 eM] 0 0 1P， 


n e n Q c 0 IP, 
0 E 0 a oo af |P, 
0 = O a Py 

每 行 中 0 的 个 数 为 :一 1, 每 行 标号 与 N UN, 保持 一 致 。 定 义 目标 向 量 e = (1,0.- TE 
RY" EI N, No 的 性 质 可 知 , 当 AE&T, 时 ,存在 一 (ee Eker Ma ,其 中 心 一 
1; 而 当 AET,, 时 , 则 MA 的 各 行 可 以 扩展 得 到 目标 向 量 : 它们 可 以 扩展 得 到 向 量 (r， 性 十 
se Ai0,7,0 € R7 ,其 中 r,sE R, 令 7 二 ro,s 二 ri, 则 由 MA 的 各 行 扩展 得 到 了 目标 向 
量 e 。 

因此 ,上 述 构 造 的 单调 张 成 方案 能 够 计算 Ton o 

下 面 来 构造 尺 , 它 是 2 上 的 O(log; RP HR, H cl, sansroom ERs ¢ Atr * A= 
1, 其 中 A 一 A(1,…，,z) ,Ai 一 A(a 72). 


BE II, — (p| 2 pens p 为 素数 }, 定 义 Q = [[ € Z. Sm=Llogwnl+1 FOO € - CX TS 
Pen, 


任意 的 首 一 m 次 不 可 约 多 项 式 , 使 得 对 于 任意 p € IL f OO CF OO EC mod pF, [CX] 
中 均 不 可 约 。 可 利用 中 国 剩余 定理 求 出 A(X)。 


设 R=2 了 [XJ]/(f(X))。 由 f(X) 的 定义 可 得 ,对 于 任意 pC IL R/ GO HARM, 事实 
上 ,对 于 任意 pCi A 


1 
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R/G) = Z[X]/ p: f(X)) FLX CF, CO) ~ Fyn 
注意 到 R 中 的 所 有 理想 (p) 互 异 且 都 是 极 大 理想 , p € IT, AA ESAE Ate XE RT (3 
R/(Q,) = [[ Ez. 


pel, 
对 于 任意 pe IL .| Ej | =p" — 1227 一 1 之 n, 因 此 存在 非 零 的 pi^ y+ BO € Fyn 。 
FE HE aistra, € RETER/QQO Sa BP pen, € [| Fe i==1,…,n。 于 是 对 于 任意 


WY) ij.l«ijmndacGO/(QU) GE: (R/(Q,))" ÀSR/QQORBISEROU Xa—a€ 
(R/(Q,))" ,因此 AiE R/CQOO * BUDGET FE RE B TE SE 3C Kk AL € CR/CQ*)) ,可 利用 
递归 来 验证 此 结论 。 假 设 存 在 v. wR AEE A * v—1--w * Q 21,9 A; * Co—vw * QI) = 
1—uw + Q?.2izicl AMA € CR/CADO" 。 亦 即 ,作为 一 个 整数 ,Ai 在 素数 p€ IL, 上 可 以 
完全 分 解 。 选 择 足够 大 的 k^ ,使 得 A 整除 QU. ,由 前 面 的 讨论 可 知 Af € (R/(A?))" ,因此 
TEE rri € RI ro * AB +n Ai=1. 

由 引 理 7. 1 及 其 证 明 , 可 以 得 出 下 列 结论 。 

引 理 7.2 对 于 所 有 的 t,n,2<t<n, 存 在 TT,, 上 的 大 小 为 x，(Llogsnj 十 2) 的 ISP. 

综 上 所 述 ,可 以 得 出 上 述 构造 的 有 ,上 的 秘密 共享 协议 确实 是 一 个 黑箱 秘密 共享 协议 。 

实际 上 ,该 协议 是 把 秘密 分 发 了 两 次 ,一 次 是 以 1,… ,n 为 插值 点 , 另 一 次 是 以 wm ，… ,a 
为 插值 点 ,使 得 A 二 A(1,…,n) ,Ai 一 A(w,…'an) 互 素 , 对 于 任何 一 个 授权 集合 来 说 ,都 可 
以 恢复 得 到 (Ai,0,…,0)ER RICA, O, 7.0) € R ,进而 可 以 找到 ro、n, 使 得 
(ro 和 A 十 nn，A?,0,…,0) 二 (1,0,…,0) ER* 1 ,进而 可 以 恢复 出 秘密 。 

Cramer 等 人 后 来 的 工作 给 出 了 ,门限 存 取 结构 上 的 另外 一 种 更 优 的 黑箱 秘密 共享 
协议 , 感 兴趣 的 读者 可 参阅 文献 [5]。 


7.5 无 限 取 值 空间 上 的 秘密 共享 协议 


前 面 介绍 的 秘密 共享 协议 中 的 秘密 和 秘密 分 享 的 取 值 空间 都 是 有 限 的 ,那么 对 于 取 值 
空间 是 无 限 的 情况 来 说 ,其 上 的 秘密 共享 协议 是 否 还 存在 呢 ? Chor 和 Kushilevitz 研究 了 
这 个 问题 ,特别 是 秘密 和 秘密 分 享 都 取 自 于 一 个 可 数 集合 (如 所 有 的 二 进 制 串 ) 的 情况 。 
他 们 证 明了 任意 可 数 取 值 空间 上 的 秘密 共享 协议 (参与 者 人 数 n 宇 2) 是 不 存在 的 ,而 实数 域 
上 的 秘密 共享 协议 是 存在 的 ,这 说 明 秘 密 共享 协议 的 存在 性 与 域 的 基数 有 关 。 本 节 主 要 介 
绍 Chor 和 Kushilevitz 的 结果 。 

设 P 一 {Pi,P:,…,P,} ,了 为 P 上 的 存 取 结构 。 如 果 存 在 集合 ACT. WE A 不 是 一 个 
单元 集 , 且 是 下 中 最 小 的 一 个 , 则 称 卫 是 非 平凡 的 。 

dt S 为 可 能 秘密 的 任意 集合 ,也是 一 个 非 平凡 的 存 取 结 构 , 设 这 1 为 一 常数 。S 上 的 
G,o 秘 密 共 享 协议 是 一 个 由 秘密 集合 到 n 元 组 集合 的 概率 映射 了:S 一 Bi XB, X X B,, 
并 满足 以 下 条 件 : 

CD 秘密 :能 够 由 任意 的 “合法 的 ”秘密 分 享 集合 恢复 。 也 就 是 说 ,对 于 任意 的 子 集 
ACT, FF FE PARE has XieaB;>S, 使 得 对 于 每 个 可 能 的 秘密 分 享 集合 (51 ,… ,s,) = LC) ,秘密 
都 可 以 由 ha Cose) =s RE. 


dee Lid is RESLAR 


(2)“ 非 法 的 ”秘密 分 享 集合 不 会 泄露 “过 多 ”的 关于 秘密 的 信息 (信息 论 意义 上 的 )。 即 
对 于 任意 的 子 集 AGT, 任 意 的 两 个 秘密 s,s'€ S 及 任意 可 能 的 秘密 分 享 集 {s;) ;ea : 
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34 a 二 1 时, 称 此 时 的 (T,a) 秘 密 共享 协议 是 完美 的 。 在 一 个 完美 的 秘密 共享 协议 中 ,任何 
“非法 的 ”秘密 分 享 都 不 会 泄露 关于 秘密 的 任何 信息 。 

显然 ,如 果 秘 密 的 取 值 空间 是 无 限 的 ,那么 秘密 分 享 的 取 值 空间 也 一 定 是 无 限 的 。 如 果 
考虑 秘密 的 取 值 空间 是 可 数 的 秘密 共享 协议 ,那么 希望 秘密 分 享 的 取 值 空 间 最 好 也 是 可 数 
的 。 下 面 的 定理 7. 1 说 明了 秘密 和 秘密 分 享 都 取 自 可 数 集合 的 秘密 共享 协议 是 不 存在 的 。 

定理 7.1 设 A 是 一 个 可 数 集合 ,n 宇 2,a 宇 1, 厂 是 一 个 非 平凡 的 存 取 结构 。 则 不 存在 
一 个 (T,a) 秘 密 共享 协议 ,使 得 分 发 的 秘密 取 自 于 A, 而 秘密 分 享 取 自 一 个 可 数 集合 。 

定理 7. 1 的 详细 证 明 可 参阅 文献 [6]。 

虽然 实数 域 上 的 秘密 共享 协议 并 没有 什么 实际 的 应 用 ,但 是 对 于 探讨 是 否 任 意 的 无 限 
集合 上 都 不 存在 秘密 共享 协议 这 个 问题 来 说 , 却 很 有 帮助 。 下 面 介绍 实数 域 上 的 一 个 简单 
的 秘密 共享 协议 。 由 于 实数 和 单位 区 间 [0,1) 之 间 存 在 着 一 一 对 应 关系 ,为 简便 起 见 ,将 此 
区 间作 为 秘密 的 取 值 集合 ,而 秘密 分 享 同 样 取 值 于 此 集合 。 

首先 定义 什么 是 实数 域 上 的 秘密 共享 协议 ,特别 是 要 给 出 非 授权 集 ( 即 A € TD) AR zi 
露 关 于 秘密 的 任何 信息 的 确切 定义 (这 里 介绍 的 所 有 协议 都 是 完美 的 (一 1) , 故 将 a 省 略 )。 
具体 定义 为 : 对 于 任意 的 两 个 秘密 s,s'€ S, 任 意 的 AGT 以 及 任意 的 |A | 元 组 可 测 集 
{Cihea Lo. D ,下 列 条 件 成 立 : 

Pr(Vi € A:s; € G | s) = Pr( Vi € Ai € C; | s) 

现在 介绍 任意 非 平凡 存 取 结构 S2) EIS IL. BEAR P Ck kE 
共享 协议 ,秘密 * 取 自 [0,1) 区 间 。 在 此 使 用 [0,1) 上 的 Legesgeu 测度 。 

CD 按照 均匀 分 布 , 独 立地 选择 [0,1) 区 间 上 的 大 一 1 个 实数 5 ，… ,sx-1。 

(2) 选择 s, € [0. D ,满足 % tee +5,_-, +5, =sCmod 1), 

证 明 上 述 协议 是 一 个 秘密 共享 协议 的 方法 与 素 域 上 的 情况 类 似 。 

对 于 任意 一 个 非 平 凡 的 存 取 结构 ,其 上 的 秘密 共享 协议 可 以 利用 文献 [7] 中 的 方法 
得 到 。 

推理 7.1 设 T(n 宇 2) 是 一 个 非 平凡 的 存 取 结构 ,存在 一 个 完美 的 荆 秘 密 共享 协议 ,其 
共享 的 秘密 取 自 于 一 个 可 数 集合 ,生成 的 秘密 分 享 均 为 实数 。 

可 以 将 取 自 于 可 数 集合 的 秘密 戏 人 到 [0,1) 区 间 上 ,按照 上 面 的 协议 进行 共享 。 易 见 其 
结果 确实 为 一 个 秘密 共享 协议 。 

可 数 集合 上 的 秘密 共享 与 实数 域 上 的 秘密 共享 的 不 同 之 处 就 在 于 两 者 基数 
SAS HAT. 

由 上 面 的 讨论 可 以 看 出 ,秘密 共享 协议 的 存在 与 否 不 单单 要 看 取 值 空间 是 有 限 还 是 无 
BR ,还 要 看 空间 的 基数 。Chor 和 Kushilevitz' 中 给 出 了 以 下 的 结论 。 

(1) 如 果 秘 密 和 秘密 分 享 都 取 自 可 数 空间 ( 即 其 与 正 整 数 集合 的 基数 相同 ) , 则 对 于 任 
意 的 "之 2、 一 个 非 平 凡 的 存 取 结构 卫 , 以 及 a>1,Cn,a) 秘 密 共享 协议 是 不 存在 的 。 

(2) 如 果 秘 密 和 秘密 分 享 的 取 值 空间 的 基数 为 从 (实数 域 的 基数 ), 则 对 于 任意 一 个 非 
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平凡 的 存 取 结 构 卫 , 卫 完美 秘密 共享 协议 是 存在 的 。 

Blakley 和 Swanson 也 给 出 了 相似 的 结果 中 ,但 Chor 和 Kushilevitz 的 结论 更 一 般 化 ， 
适用 于 一 般 的 a 弱 秘密 共享 协议 ,而 文献 [8 中 的 结论 仅 适用 于 完美 的 门限 方案 ,而 且 Chor 
和 Kushilevitz 的 结论 的 条 件 和 证 明 更 加 简单 一 些 。 


7.6 在 线 秘密 共享 协议 


前 面 所 介绍 的 秘密 共享 协议 在 秘密 恢复 之 前 ,参与 者 集合 是 保持 不 变 的 。 而 在 实际 应 
用 中 ,人 员 的 变动 是 难免 的 ,如 企业 中 的 人 员 招 聘 、 内 部 人 员 调 动 . 升 迁 、 离 退休 等 都 会 对 企 
业 原 有 信息 系统 造成 一 定 的 影响 。 因 此 ,希望 有 一 种 灵活 且 易 于 实现 的 秘密 共享 协议 来 解 
决 该 问题 。Blakley 等 人 中 研究 了 带 除 名 (Disenrollment) 的 门限 方案 ,参与 者 可 以 自由 离 去 
并 公开 他 的 秘密 分 享 ,然后 分 发 者 DC(Dealer) 通 过 在 公开 信道 上 广播 一 条 消息 来 共享 一 个 
新 秘密 。 之 后 Blundo FAH Blakley 等 人 的 结果 推广 到 一 般 的 动态 存 取 结构 中 ,并 在 文 
献 [11] 中 研究 了 共享 多 个 秘密 的 协议 。Cachin55 介绍 了 一 般 存 取 结构 上 、 在 计算 意义 上 安 
全 的 秘密 共享 协议 。 该 协议 所 生成 的 秘密 分 享 大 小 与 秘密 相同 ,同时 可 以 共享 多 个 秘密 ,人 允 
许 在 线 动 态 地 添加 参与 者 ,而 无 须 向 原 有 参与 者 重新 分 发 新 的 秘密 分 享 。 这 些 功 能 是 通过 
在 公共 准 入 区 域 ( 如 布告 栏 ) 存 储 可 信 的 公共 信息 来 实现 的 。 协 议 的 安全 性 由 单 向 函数 的 安 
全 性 来 保证 。 本 节 主 要 介绍 Cachin PIL” 。 

为 简单 起 见 ,假设 秘密 ; 取 自 于 一 个 有 限 交 换 群 G 王 一 G, 十 过,! 一 log: |G], f:G>GH 
G 上 的 单 向 函数 。 

一 个 计算 意义 上 安全 的 秘密 共享 协议 是 分 发 者 D 和 参与 者 集合 P 的 成 员 之 间 来 共享 
秘密 * 的 一 个 协议 ,对 应 的 存 取 结 构 为 也, 并 满足 以 下 条 件 : 

CD 分 发 者 D 将 秘密 分 享 y; 秘密 地 传送 给 忆 i 一 1,，…,z。 

(2) 对 于 所 有 的 授权 子 集 XEz 来 说 ,他 们 能 够 利用 所 持 有 的 秘密 分 享 {y | P, € XI 
效 地 计算 出 秘密 >。 

(3) 对 于 任意 的 非 授权 子 集 XE 了 来 说 ,他 们 运行 任意 的 多 项 式 时 间 算 法 都 不 能 以 不 
可 忽略 的 概率 计算 出 秘密 s。 

Cachin 的 协议 用 到 了 公共 准 入 区 域 , 并 把 这 个 区 域 称 为 布告 栏 ,分 发 者 D 可 以 在 布告 
栏 里 发 布 一 些 不 可 伪造 的 公共 信息 。 如 果 通 信 成 本 不 高 的 话 ,D 也 可 以 以 消息 广播 的 形式 
来 代替 集中 式 存储 。 一 般 地 ,上 述 布告 栏 在 所 有 的 秘密 共享 协议 都 存在 , 它 至 少 包含 参 与 者 
AB n 和 存 取 结构 工 等 信息 。 

共享 秘密 sEG 的 基本 协议 如 下 : 

(1) DD 按照 均匀 分 布 随机 地 在 G 上 选取 n 个 元 素 yin» 

(2) DH y, 秘密 地 传送 给 P;,i 二 1,… ,n。 

(3) 对 于 每 一 个 极 小 授权 子 集 XED. DHH. 


Tx = s— f( 22») 


并 将 T= 二 {Tx|XET,} 发 布 在 布告 栏 上 。 
上 面 涉及 的 加 法 和 减法 都 是 在 G 中 运算 的 。 授 权 子 集 Y 恢复 秘密 s 的 步骤 如 下 。 


LN REREH 理论 与 实践 


CD Y 中 的 所 有 成 员 共 同 商议 决定 选 出 一 个 极 小 授权 子 集 XY。 

(2) X 中 的 所 有 成 员 将 他 们 的 秘密 分 享 加 在 一 起 ,得 到 Vx = Dee ,计算 
fO. 

(3) X 从 布告 栏 中 获取 Tx ,计算 出 秘密 S=Tx ÁO. 

很 容易 验证 上 述 基 本 协议 的 完备 性 , 即 任何 授权 子 集 XE 都 能 够 有 效 地 恢复 秘密 *。 

下 面 简单 分 析 一 下 协议 的 安全 性 。 秘 密 s 和 秘密 分 享 之 间 的 关系 可 以 由 下 面 |T, | 个 方 
程 给 出 : 对 于 所 有 的 XET, Vx 一 >), cos 

s— Tx f(Vx) 

后 面 指定 Vx = Drak ,其 中 六 为 任意 的 参与 者 集合 。 任 意 的 非 授 权 子 集 UG 厂 
都 不 能 直接 计算 得 到 Vx,XET,。 因 此 UU 仅仅 利用 一 个 方程 无 法 计算 出 s。U 也 可 以 通过 
s 或 Vx 联 立 两 个 或 多 个 方程 。 

通过 ;, 联 立 两 个 方程 得 到 以 下 关系 : 

Ty —Tz = fz) -—fWy) YZET, 

而 对 于 等 式 右边 来 说 ,U 是 无 法 直接 计算 的 ,除非 Vy 二 Vz, 而 此 时 Ty = Tz, T 
UU 来 说 毫 无 用 处 。 

通过 Vw 联 立 两 个 方程 ,得 到 下 面 的 关系 , 即 

f G— Twy) — f! G— Twy) = Vy — Vv 

X,wnQu-gBWUU'en.WUU'er,.U'cU.U'cU 且 U' 关 U”。 而 这 对 他 们 同样 
毫 无 用 处 。 因 此 可 无 法 有 效 地 计算 出 秘密 *。 

一 般 地 ,T 和 布告 栏 的 大 小 为 O(2")。 如 果 布 告 栏 的 大 小 有 限制 ,T 的 可 信人 性 仍 可 通过 
分 发 者 卫 对 了 进行 数字 签名 来 保证 。 如 果 了 很 大 , 则 只 需 对 了 的 一 部 分 进行 签名 即 可 , 避 
免 了 为 了 认证 一 个 元 素 而 对 整个 了 进行 查询 。 

由 于 任何 一 个 授权 子 集 在 恢复 秘密 时 ,只 需要 获取 人 中 对 应 的 一 个 元 素 即 可 ,因此 布 
告 栏 可 以 看 做 是 一 个 服务 器 , 收 到 查询 请 求 后 返回 相应 的 元 素 及 对 应 的 签名 。 

上 述 基 本 协议 也 允许 分 发 者 在 分 发 完 秘密 分 享 之 后 更 改 所 共享 的 秘密 ,而 仅 需 更 改 布 
EEK TEIT. 

在 很 多 情况 下 ,在 一 个 秘密 的 有 效 期 内 ,秘密 共享 协议 的 参与 者 并 不 是 一 成 不 变 的 ,而 
存 取 结 构 本 身 也 有 可 能 发 生 改 变 , 如 有 新 的 参与 者 加 入 。 类 比 存 取 结 构 的 单调 性 ,假设 存 取 
结构 的 改变 也 是 单调 的 , 即 只 有 参与 者 加 入 且 授 权 子 集 仍 为 授权 子 集 。 

一 个 计算 意义 上 安全 的 在 线 秘密 共享 协议 是 在 分 发 者 D 和 参与 者 集合 序列 PT, 
PO ,… 中 的 成 员 之 间 共 享 秘密 s 的 一 个 协议 ,对 应 的 存 取 结构 序列 为 T'"” DO ye HERR 
于 所 有 的 t 宇 0 A. PO CP” .POCr’” 。 该 协议 满足 : 

D PiE PW 对 应 的 秘密 分 享 y 形成 一 个 共享 秘密 s、 对 应 存 取 结构 OO ,并 且 在 计算 
意义 上 安全 的 秘密 共享 协议 。 

(2) 在 时 间 上 之 0, 分 发 者 卫 将 秘密 分 享 y; 秘密 地 分 发 给 每 个 参与 者 P;E P*\P"?。 

(3) 对 于 所 有 的 10. 8 — TEA FR XC DP? BH WALA Cy. | PiEX} 有 效 地 计算 出 秘 
Bis 

(4) 对 于 所 有 的 10. BU AERA SE X € P? ,运行 任意 的 多 项 式 时 间 算 法 都 不 能 
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以 不 可 忽略 的 概率 计算 出 秘密 so 

前 面 介绍 的 基本 协议 就 满足 上 述 定 义 , 如 果 分 发 者 一 步 一步 地 操作 ,在 时 间 : 二 0,D 随 
机 选取 y;, 然 后 秘密 地 发 给 每 个 新 加 入 的 参与 者 P, EPOP ,并 相应 地 将 Tx 发 布 在 布 
HEL HP XEPP AXES. D 之 前 分 发 的 秘密 分 享 仍然 有 效 , 且 不 需要 重 传 。 

基本 协议 的 简便 灵活 ,使 得 它 可 以 扩展 到 其 他 一 些 情况 中 ,如 在 一 个 在 线 秘密 共享 协议 
中 有 参与 者 退出 的 情况 等 。 与 传统 的 秘密 共享 协议 相 比 ,Cachin 中 提出 的 方案 更 加 简单 灵 
活 ,秘密 分 享 大 小 比较 小 。 区 别 就 在 于 Cachin55 方 案 达 到 的 是 计算 意义 上 的 安全 ,其 安全 
性 依赖 于 单 向 函数 的 安全 性 ,并 且 他 们 在 安全 模型 中 使 用 了 布告 栏 来 提供 公共 信息 。 当 然 
为 了 防止 穷 举 搜索 攻击 ,要 求 秘密 的 取 值 空间 不 能 太 小 。 

在 线 秘密 共享 协议 在 参与 者 以 及 存 取 结构 或 者 秘密 本 身 经 常 改变 的 情况 下 有 很 多 实际 
的 应 用 。 当 有 新 的 参与 者 加 入 或 者 有 参与 者 离开 时 ,并 不 需要 秘密 地 分 发 新 的 秘密 分 享 。 
这 种 情况 经 常 出 现在 密 钥 管理 、 密 钥 托管 及 公平 公 钥 密码 体制 中 。 


7.7 可 验证 秘密 共享 协议 


秘密 共享 协议 解决 了 在 遭遇 被 动 攻击 的 情况 下 秘密 的 机 密 性 和 可 用 性 之 间 的 矛盾 ,但 
没有 考虑 以 下 两 种 主动 攻击 的 情况 。 

CD 欺骗 的 参与 方 : 在 多 个 参与 方 协同 合作 恢复 秘密 的 过 程 中 ,如 果 有 参与 方 提交 的 
秘密 分 享 是 伪造 的 ,那么 秘密 恢复 过 程 的 最 后 将 得 不 到 正确 的 结果 。 

(2) 欺骗 的 分 发 者 : 参与 方 无 法 判断 由 保密 信道 得 到 的 来 自 秘密 分 发 者 的 秘密 分 享 是 
否 是 正确 的 秘密 分 享 。 

可 验证 秘密 共享 协议 的 概念 是 由 Chor 5$ AU! TT 1985 年 首次 提出 的 ,用 以 解决 上 述 
问题 。 

可 验证 秘密 共享 (Verifiable Secret Sharing,VSS) 协 议 由 秘密 分 享 生成 ( 记 为 Share) 算 
法 ,秘密 恢复 ( 记 为 Recover) 算 法 和 一 个 用 于 检验 秘密 分 享 正确 性 的 验证 算法 ( 记 为 
Verify) 组 成 ,其 中 

COD 秘密 分 发 者 运行 Share 算法 Share(S) = (yi sys y, ,得 到 秘密 S 的 秘密 分 享 ， 
参与 方 P; 通过 安全 信道 得 到 yi;(i 二 1,2,… ,n)。 

(2) 参与 方 执行 Recover 算法 求解 秘密 S. 

(3) Verify 算法 用 于 检验 秘密 分 享 的 正确 性 。 

上 述 定义 的 协议 满足 : 

(D Juy AC€T:CVi€A;Verify Cy) 7D —RecoverC( y, |i EA) =u. FF ELE E A 
者 是 诚实 的 , 则 x 一 S。 即 如 果 参 与 恢复 秘密 S 的 所 有 秘密 分 享 都 是 正确 的 ,那么 将 得 到 唯 
一 的 结果 w( 在 诚实 分 发 者 的 条 件 下 ,u 一 S) 。 

(2 VAEP: Recover({y;|i€C A}) 无 法 恢复 秘密 S, 

如 果 Verify 算法 不 要 求 参与 方 之 间 的 交互 , 称 其 为 非 交互 的 可 验证 秘密 共享 协议 。 


7.7.1 Feldman 可 验证 秘密 共享 协议 
Feldman 可 验证 秘密 共享 协议 5 是 Shamir 秘密 共享 协议 的 一 种 推广 ,但 可 以 抵抗 恶 
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意 敌 手 攻击 ,这 里 恶意 敌手 的 能 力 被 界定 为 : 敌手 可 以 是 包括 可 信 中 心 在 内 的 任何 一 方 ,而 
且 可 以 收买 或 控制 至 多 (n 一 1)/2 个 分 享 者 。 

Feldman 可 验证 秘密 共享 协议 中 使 用 了 参数 如 gg, 满足 g' 三 1(mod p). p 和 g 是 两 个 
大 素数 。 

可 信 中 心 首先 随机 产生 一 个 Z, 上 的 上 次 多 项 式 S(z), 且 满足 ;二 S(0),s 是 共享 秘密 ; 
然后 每 一 个 分 享 者 i(i 二 1,2,…,n) 得 到 来 自 可 信 中 心 的 分 享 s= SCG) mod q; 可 信 中 心 同 
时 要 广播 数值 Vs; =g" mod 户 ,这 里 ax E SC) BR kt 次 项 系数 。 这 样 每 个 分 享 者 i 都 可 
以 通过 检验 以 下 等 式 : 

g = [Os aod p) (= [Te (mod p)) 


是 否 成 立 来 检查 获得 分 享 的 可 信 中 心 的 真实 性 。 如 果 以 上 等 式 不 满足 ,用 户 i 可 以 要 求 可 
信 中 心 揭露 该 分 享 ( 称 为 一 个 投诉 ,Complaint)。 如 果 超 过 t 个 用 户 发 出 投诉 ,那么 可 信 中 
心 被 宣称 为 不 合格 (Disqualified) 。 

在 共享 秘密 重 构 时 ,Feldman 可 验证 秘密 共享 协议 可 以 检测 出 不 正确 的 分 享 s。 但 必 
须 指出 ,Feldman 可 验证 秘密 共享 协议 只 具有 计算 安全 性 ,因为 对 应 秘密 s BOT a =g 被 
泄露 。 


7.7.2 Pedersen 可 验证 秘密 共享 协议 


Pedersen 可 验证 秘密 共享 协议 "5 使 用 参数 p、g、g ,满足 g' 三 1(mod p), p 和 g 是 两 个 
大 素数 。 此 外 ,还 引入 参数 AE Z; , 且 离 散 对 数 log, h) EMEAK 
可 信 中 心 首 先 选择 2 个 上 次 多 项 式 SCz)、S' GO BOSE Z, 上 均匀 分 布 。 共 享 秘密 
s 二 S(0)。 可 信 中 心 给 每 个 分 享 者 i( 二 1,2,…,n) 分 发 2 4X s SG) mod qs GD) 一 
S'(i) mod gq。 对 于 两 个 多 项 式 的 系数 做 出 以 下 承诺 : 
Vs, = g^th^ 
这 里 ap 、b 分 别 是 多 项 式 S(z)、S'(z) 的 k(<7) 次 项 系数 。 
每 个 分 享 者 i 可 以 通过 检验 以 下 等 式 
ghs = [| Vs)” (mod p) 


是 否 成 立 来 验证 自己 分 享 的 真 伪 。 以 下 部 分 同 Feldman 可 验证 秘密 共享 协议 类 似 。 

在 共享 秘密 重 构 阶段 ,要 求 所 有 分 享 者 同时 提交 2 个 分 享 : s =S) mod q,s GD) 一 
S'G) mod g, 这 时 上 述 等 式 可 以 用 来 检验 分 享 者 所 提交 的 分 享 的 合法 性 。 注 意 : 除非 恶意 
的 分 享 者 能 够 计算 离散 对 数 log, (h) ,否则 无 法 伪造 虚假 的 分 享 。 

Pedersen 可 验证 秘密 共享 协议 满足 无 条 件 安全 性 ,因为 所 泄露 的 信息 只 是 g"h” = 
gh”%。 可 以 看 出 ,对 于 每 一 个 s; 值 , 恰 有 一 个 bo 使 得 等 式 

Vso = g'hh 
成 立 ,因此 公开 Vso 并 未 泄露 秘密 s 的 任何 信息 。 


7.7.3 公开 可 验证 秘密 共享 协议 


上 述 介绍 的 可 验证 秘密 共享 协议 中 ,参与 方 只 能 验证 自己 的 秘密 分 享 的 正确 性 ,但 无 法 
得 知 其 他 参与 方 秘密 分 享 的 正确 性 。 公 开 可 验证 秘密 共享 (Public Verifiable Secret 
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Sharing) 协 议 为 参与 方 检测 秘密 恢复 过 程 中 可 能 的 欺骗 提供 了 一 种 方法 ,从 而 解决 了 这 一 
问题 。 
选取 大 素数 p ,满足 q— (p — 10/2 亦 为 素数 。 选 取 p 阶 循环 群 G 及 其 生成 元 gs € G。 
一 般 存 取 结 构 上 的 可 验证 秘密 共享 协议 : 
4 D—g 公开 。 秘密 分 发 者 为 了 将 秘密 SCZ, 按照 存 取 结构 共享 ,对 任意 的 
A={P; ,P;, +P), } ET, 执行 
在 Z 上 随机 选取 ,一 访 JJ 
(1) 计算 秘密 分 享 s=] kl E 
EX, mod p.i—j, 
(2) ya, IEEE e KABA Pid hires 
(3) 公开 Da — gs EG, 则 所 有 参与 方 都 可 以 验证 VA Er: [[D, = g& =D. 
i€A 


BSH P, 通过 检验 DA — g*% 来 判断 秘密 分 享 ya 是否 正确 。 

由 于 上 述 协议 的 计算 量 较 大 ,对 于 门限 存 取 结构 的 情形 ,可 以 采用 前 面 介绍 的 Feldman 
协议 或 Pedersen 协议 。 

验证 协议 : 

为 了 使 秘密 分 享 可 公开 验证 ,这 里 采用 ElGamal 公 钥 加 密 算法 对 秘密 分 享 进行 加 密 。 

选取 AEZ Ag 阶 元 素 。 对 于 i—1.2. 7.5 137; P; 随机 选取 加 密 密 钥 > € QZ, ,公开 
e—h' mod p。 为 了 加 密 消息 ME Z; ,秘密 分 发 者 随机 选取 a€ Z, 计算 (着 ,Me")mod po 
参与 方 P, 根据 接收 到 的 密 文 (A,B) ,可 通过 计算 M=A*/B mod 进行 解密 。 

验证 协议 通过 验证 协议 中 的 (A,B) 是 关于 V 一 s"EG 的 离散 对 数 v 的 密 文 来 证 明 秘 密 
分 享 的 正确 性 。 该 协议 基于 以 下 事实 : 

(A,B) = (h?,v * e) mod pV? = g” = g^? 

证 明 者 要 向 验证 者 证 明 A XT h 的 离散 对 数 等 于 Vs XT g Me 的 双重 离散 对 数 。 


证 明 者 验证 者 
重复 KK 
we RZ, 
t,=h*mod p 
tQ—g^ 
ty stg 
c c€ g(0.1) 
r=w—c * a mod q r 
t, h'A*mod b 


2 c=0 
t= r 
yeo E | 
利用 Hash 函数 ,可 以 根据 上 述 协议 构造 一 个 非 交互 的 验证 算法 : 假设 存在 强 Hash K 
BH, :{0,1}* (0,1) (KE 一 100) ,对 于 ii 一 1,2,…, 天 证 明 者 选择 w E rZ, 计算 tr.i =h" mod 


妃 和 te 一 8 ,然后 计算 向 量 
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R=(n ores yr) = (GG — cia mod q).Go; — cza mod 9.77. 
(zw — ca mod q)) 
其 中 ci 代表 cc 一 Hi(V WAM Biter lta lt 中 i 上 ,x11) 的 第 i 位 。 相 应 的 验证 方 需要 
RH tri =h AS mod p fl t, — (g? 7 VP)? ,j—1,2, k. 
这 里 介绍 了 Stadler 于 1996 年 提出 的 基于 离散 对 数 计 算 上 的 复杂 人 性 的 公开 可 验证 秘密 
EEH, Stadler 同时 提出 的 另 一 个 基于 大 数 分 解 问题 的 困难 性 的 公开 可 验证 秘密 共 
享 协议 与 上 述 协议 类 似 ,此 处 不 再 歼 述 。 感 兴趣 的 读者 可 参阅 文献 [16] 。 


7.8 无 可 信 中 心 的 秘密 共享 协议 


很 多 应 用 场合 都 不 存在 可 信 中 心 ,如 密 钥 分 配 协议 中 不 需要 密 钥 分 配 中 心 KDC 的 存 
在 ,这 时 ,需要 对 前 面 介绍 的 秘密 共享 协议 进行 重新 设计 和 修改 。 

无 可 信 中 心 的 秘密 共享 协议 的 基本 思想 是 : 每 个 分 享 者 i 都 运行 相同 的 一 个 Shamir 
秘密 共享 协议 或 Pedersen 可 验证 秘密 共享 协议 ,对 应 的 秘密 也 由 各 分 享 者 自行 选取 。 实 际 
上 ,这 时 每 个 用 户 都 是 一 个 可 信 中 心 。 最 终 共享 的 秘密 就 是 这 些 子 秘密 之 和 。 

下 面 以 Shamir 秘密 共享 协议 为 例 进行 说 明 。 

具体 过 程 如 下 : 

O 每 个 分 享 者 Pi (i 二 1,2,… ,nn) 随 机 选取 秘密 ,随机 选取 1 次 多 项 式 h;(z) (常数 项 
就 是 s')。 

(2) 每 个 分 享 者 Pi(i 二 1,2,…,n) 分 别 把 yj; 二 hi;(j) 分 发 给 其 他 分 享 者 P;。 


(3) 每 个 分 享 者 P 的 分 享 就 是 > 。 


显然 ,最 终 的 共享 秘密 、 一 Ms ,在 等 价 意义 上 ,用 于 重 构 的 多 项 式 就 是 Dac. 秘 


密 重 构 公 式 同 前 ,这 里 不 再 歼 述 。 
类 似 地 ,可 以 自然 地 推广 到 Pedersen 可 验证 秘密 共享 协议 的 情况 。 


7.9 前 摄 秘密 共享 协议 


尽管 上 述 介绍 的 各 种 秘密 共享 协议 的 安全 性 在 理论 上 是 足够 的 ,但 在 现实 生活 中 , 随 着 
时 间 的 流逝 ,系统 中 各 个 部 件 所 受到 的 攻击 也 不 断 增加 ,部 件 所 持 有 的 秘密 分 享 信 息 有 可 能 
因为 各 种 原因 被 破坏 、 受 损伤 甚至 泄露 。 尽 管 人 们 可 以 建立 非常 强 的 安全 保护 机 制 ,但 在 时 
间 面 前 ,一 个 极 小 的 缺陷 也 会 被 慢 慢 放 大 ,发生 错 误 的 可 能 性 也 会 逐渐 增加 。 所 以 ,人 们 提 
出 了 前 摄 (Pro-Active) 机 制 来 解决 这 个 问题 。 

所 谓 “ 前 摄 ” 是 指 在 保护 的 秘密 s 不 变 的 情况 下 ,被 分 发 给 每 个 参与 者 的 部 分 秘密 分 享 
信息 可 以 被 随时 更 新 。 这 样 ,即使 单个 的 部 分 秘密 分 享 信息 被 泄露 ,在 更 新 之 后 ,泄露 的 信 
息 就 变 得 毫 无 用 处 。 只 要 周期 性 地 更 新 秘密 分 享 信息 ,就 可 以 在 不 改变 共享 秘密 的 情况 下 ， 
大 大 提高 系统 的 安全 性 。 

前 摄 的 另外 一 个 用 处 是 修复 损坏 的 秘密 分 享 信息 ,假设 ”个 参与 者 中 的 上 个 联合 才 可 
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以 恢复 秘密 ,那么 随 着 时 间 的 流逝 ,一 旦 被 损坏 的 秘密 分 享 信息 逐渐 增多 ,使 得 最 终 持 有 正 
确 秘 密 分 享 信息 的 参与 者 小 于 上 个 ,就 再 也 无 法 恢复 秘密 了 。 因 此 ,周期 性 地 更 新 可 以 修复 
损坏 的 秘密 分 享 信息 ,有效 地 防止 这 种 情况 的 出 现 。 

本 节 以 Shamir 秘密 共享 协议 为 例 ,说 明基 本 的 前 摄 秘密 共享 思想 。 在 这 个 协议 中 不 存 
在 分 发 中 心 ,目的 是 在 没有 分 发 中 心 参与 的 情况 下 更 新 秘密 分 享 信息 ,所 有 的 分 享 者 应 自行 
协商 一 个 新 的 多 项 式 ,这 个 多 项 式 保存 的 秘密 和 旧 的 多 项 式 一 样 都 是 s。 在 协议 执行 后 ,每 
个 分 享 者 将 得 到 一 个 新 的 秘密 分 享 信息 ,这 个 秘密 分 享 信息 属于 新 的 :一 1 次 多 项 式 。 

假设 使 用 Shamir 秘密 共享 协议 ,秘密 s 被 保存 在 一 个 + 一 1 次 多 项 式 f(x) 中 ,分 发 给 
nn 个 分 享 者 Pi ,P,,…,P, ,每 个 分 享 者 持 有 秘密 分 享 信息 f(D. 

具体 的 秘密 分 享 信息 更 新 协议 如 下 : 

D 每 个 分 享 者 P; MZ, 中 随机 选择 + 一 1 个 数 ,形成 一 个 t— 1 次 多 项 式 户 (z) ,其 常数 
项 为 0, 即 p,(00 —0, 

(2) 每 个 分 享 者 P: 对 P; 分 发 秘密 分 享 信息 pC). 

(3) 每 个 分 享 者 P; 接收 到 以 下 的 秘密 分 享 信 息 PG) pa (站,…,p, C) ,并 把 旧 的 秘密 
分 享 信息 (i) 和 新 的 个 秘密 分 享 信息 相 加 得 到 新 的 秘密 分 享 信 息 h(i) , 即 


AG) = f@+ Sp 
(4) 每 个 分 享 者 P; 销毁 其 旧 的 秘密 分 享 信息 f OD 。 
从 这 个 协议 可 以 看 出 ,n 个 分 享 者 实际 上 重新 构造 了 一 个 新 的 + 一 1 次 多 项 式 h(z) 为 


h(x) = f(x) + 3] p. GO 


ŽEH h0) = f0) 4 30) s+0 — s ,所 以 这 个 新 的 多 项 式 h(z) 仍 然 满足 Shamir 秘 


密 共享 协议 的 要 求 , 每 个 分 享 者 手中 也 拥有 一 个 h(z) 上 的 点 。 所 以 ,新 的 秘密 分 享 信息 完 
全 符合 Shamir 秘密 共享 协议 。 


7.10 小 结 


秘密 共享 的 基本 思想 是 由 Shamir 和 Blakley'…” 分 别 独立 提出 来 的 。 秘 密 共 享 协议 及 
其 基本 思想 在 信息 安全 中 发 挥 着 重要 作用 ,是 设计 其 他 安全 协议 的 一 个 基础 性 工具 和 技术 ， 
本 章 简要 介绍 了 一 些 基 本 的 、 典 型 的 秘密 共享 协议 。 这 里 需要 提醒 的 是 7.4 节 和 7.5 节 对 
于 某 些 读者 来 说 阅读 起 来 可 能 比较 困难 ,建议 做 一 般 了 解 即 可 。 关 于 秘密 共享 协议 的 构造 
方法 、 结 构 箭 界 等 方面 的 研究 工作 很 多 , 感 兴趣 的 读者 可 参阅 文献 [18] 一 [25] 。 

本 章 在 写作 过 程 中 得 到 了 周 展 飞 副教授 的 大 力 支 持 , 他 提供 了 大 量 的 相关 材料 ,作者 在 
此 表示 惠 心 的 感谢 。 
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政治 .军事 外交 等 活动 中 签署 文件 ,商业 上 签订 契约 和 合同 以 及 日 常生 活 中 在 书信 、 从 
银行 取款 等 事务 中 的 签字 ,传统 上 都 采用 手写 签名 或 印鉴 。 签 名 起 到 认证 、 核 准 和 生效 作 
用 。 随 着 社会 信息 化 程度 的 提高 ,人们 期 望 通过 数字 通信 和 网 对 贸易 合同 等 进行 迅速 的 、 远 距 
离 的 签名 ,数字 签名 或 电子 签名 应 运 而 生 , 它 是 以 电子 形式 存储 的 一 种 消息 ,可 以 在 通信 网 
络 中 传输 。 数 字 签 名 已 开始 用 于 商业 通信 系统 ,诸如 电子 邮件 .电子 转账 .办公 室 自 动 化 等 
系统 中 。 从 社会 应 用 角度 来 看 ,数字 签名 的 应 用 也 相对 比较 成 熟 ,很 多 国家 和 地 区 都 已 经 出 
台 了 相应 的 法 律 来 支持 数字 签名 或 电子 签名 。 我 国 也 于 2004 年 正式 出 台 了 电子 签名 法 。 

手写 签名 与 数字 签名 的 主要 差别 在 于 以 下 几 点 。 

D 签署 文件 方面 的 不 同 。 手 写 签名 是 所 签 文件 的 物理 部 分 ,数字 签名 则 不 是 ,所 以 数 
字 签 名 必须 设法 把 签名 “ 绑 ” 到 所 签 文件 上 。 

D 验证 方面 的 不 同 。 手 写 签名 是 通过 和 作为 标准 的 真实 的 手写 签名 相 比 较 来 验证 ， 
而 数字 签名 则 是 通过 一 个 公开 的 验证 算法 来 验证 。 安 全 的 数字 签名 将 阻止 伪造 签名 的 可 能 
性 , 相 比 之 下 ,手写 签名 比较 容易 伪造 。 

(3)“ 复 制 ” 方 面 的 不 同 。 手 写 签名 不 易 复 制 , 因 为 不 难 将 文件 的 副本 与 原文 件 区 别 开 
来 。 而 一 个 数字 签名 很 容易 复制 ,电子 文件 的 副本 与 原文 件 没有 任何 区 别 。 这 个 特点 要 求 
必须 防止 一 个 数字 签名 消息 的 重复 使 用 ,一 般 通 过 要 求 消息 本 身 包 含 诸如 日 期 等 信息 来 达 
到 这 一 目的 。 

一 个 数字 签名 协议 至 少 应 满足 以 下 3 个 条 件 : 签名 者 事后 不 能 否认 自己 的 签名 ; 
@ 任 何其 他 人 都 不 能 伪造 签名 ,接收 者 能 验证 签名 ; @ 当 双方 签名 的 真 伪 发 生 争 执 时 ,法 官 
或 第 三 方 能 解决 双方 之 间 发 生 的 争执 。 

基于 公 钥 密码 算法 和 对 称 密码 算法 都 可 以 设计 数字 签名 协议 。 特 别 是 公 钥 密码 算法 的 
诞生 为 数字 签名 的 研究 与 应 用 开辟 了 一 条 广阔 的 道路 。 目 前 诸多 数字 签名 协议 主要 基于 公 
钥 密码 算法 。 

数字 签名 协议 主要 有 两 类 : 一 类 是 普通 数字 签名 协议 ,只 提供 签名 生成 和 签名 验证 两 
个 基本 功能 ,而 且 这 两 个 功能 可 分 别 由 单个 签名 者 和 单个 验证 者 独立 完成 ,该 类 数字 签名 协 
议 通 常 称 为 数字 签名 算法 ,如 第 1 章 中 介绍 的 RSA 数字 签名 算法 .DSA; 另 一 类 是 特殊 数字 
签名 协议 ,该 类 数字 签名 协议 除了 提供 签名 生成 和 签名 验证 两 个 基本 功能 外 ,还 具有 其 他 特 
定 的 辅助 功能 或 需要 联合 签名 或 验证 ,如 不 可 否认 的 数字 签名 协议 .Fail-Stop 数字 签名 协 
议 , 群 数字 签名 协议 、 盲 数字 签名 协议 等 。 本 章 主要 介绍 第 二 类 有 代表 性 的 数字 签名 协议 。 

通常 ,一 个 普通 数字 签名 协议 即 数字 签名 算法 主要 由 两 个 算法 组 成 , 即 签名 算法 和 验证 
算法 。 签 名 者 使 用 一 个 (秘密 ) 签 名 算法 Sig(。) 得 到 对 消息 z WES y —SigGO. ce WE 
名 y 是 否 真实 ,可 通过 一 个 公开 的 验证 算法 VerC* . ) 来 回答 。 一 个 普通 数字 签名 协议 可 
由 满足 下 列 条 件 的 五 重组 (P,A,K,S,V) 来 描述 。 

CD P 是 由 所 有 可 能 的 消息 组 成 的 一 个 有 限 集合 。 
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(2) A 是 由 所 有 可 能 的 签名 组 成 的 一 个 有 限 集合 。 
(3) K 是 由 所 有 可 能 的 密 钥 组 成 的 一 个 有 限 集合 , 即 密 钥 空间 。 
CD 对 每 一 个 EE 天 ,有 一 个 秘密 的 签名 算法 Sig, Ct 0€ S 和 一 个 对 应 的 公开 的 验证 算 


法 Ver, C* , * 2€ V. &— Sig, C*0: P>A Ml Ver,(*.°): PXA—UR BO J& ET 
列 条 件 的 函数 : 对 每 一 个 消息 zxE P 和 每 一 个 签名 yEA, 有 Vere(Cz,y) 一 真 , 当 且 仅 当 
y=Sig, (x), Sig, * )fll Vere(。,，) 都 是 多 项 式 时 间 函 数 。 


利用 上 述 描述 方法 可 重新 描述 第 1 章 中 介绍 的 数字 签名 算法 。 这 里 就 不 再 袭 述 , 留 给 
读者 自行 完成 。 


8.1 潜 信道 签名 协议 


一 个 值得 注意 的 问题 是 在 数字 签名 协议 中 ,很 容易 构建 潜 信 道 。 潜 信道 (Subliminal 
Channel) 这 一 概念 中 是 由 Simmons F 1983 年 首次 提出 的 , 它 的 基本 思想 是 通信 双方 通过 
交换 完全 无 关 的 、 签 了 名 的 消息 来 传送 秘密 消息 ,使 得 第 三 方 即使 看 到 他 们 的 所 有 通信 也 无 
法 知道 寅 于 通信 中 的 秘密 信息 。 一 个 简单 的 潜 信 道 可 以 是 句子 中 单词 的 个 数 ,句子 中 有 奇 
数 个 单词 对 应 “1”, 有 偶数 个 单词 对 应 “0”。 因 此 , 当 读 这 种 仿佛 无 关 的 段落 时 ,已 将 0、1 串 
消息 发 送 给 了 在 场 的 我 方 的 人 。 当 然 , 这 种 算法 不 安全 。 设 计 安 全 性 好 的 潜 信道 协议 是 可 
能 的 ,现在 已 有 一 些 具体 协议 。 潜 信道 签名 协议 与 通常 的 签名 协议 没有 什么 不 同 ,在 潜 信道 
协议 中 ,第 三 方 不 仅 不 能 读 懂 潜 消息 ,而 且 他 也 不 知道 存 不 存在 潜 信 道 。 潜 信道 的 一 个 明显 
的 应 用 是 在 间谍 网 中 。 如 果 每 人 都 收发 签名 的 消息 ,间谍 在 签名 消息 时 发 送 潜 消 息 就 不 会 
被 注意 到 。 

这 里 介绍 一 个 基于 ElGamal 签名 算法 的 潜 信道 签名 协议 呈 。 

密 钥 的 产生 类 似 于 基本 的 EIGamal 签名 协议 , 即 ElGamal 签名 算法 。 首 先 选择 一 个 素 
数 p、 两 个 随机 数 g 和 ,使 得 g Ar 都 小 于 p。 然 后 计算 K=g" mod p. AF Kg H p 
密 r+。 该 通信 双方 分 别 为 A 和 B, 他 们 都 知道 ,这 个 密 钥 一 方面 用 来 发 送 和 阅读 潜 消息 , 另 
一 方面 还 用 来 对 消息 签名 。 

为 使 用 消息 M 来 发 送 潜 消 息 M, 要求 ged (M, p) = 1, ged (M’, p) = 1, 
gcd( M, p—1) —1, RŽ) A HH c — g" mod p, 并 由 方程 M' 三 (rz 十 My) (mod(p 一 1)) 求 
出 y, 像 在 基本 的 ElGamal 签名 协议 中 一 样 ,M 的 签名 是 (rz,y)。 所 有 的 人 都 能 通过 验证 方 
程 K'r’=g" (mod 力 ) 来 验证 签名 的 合法 性 。 如 果 B 收 到 的 (z,y) 是 M 的 一 个 合法 签名 ， 
那么 他 可 以 恢复 潜 消 息 M, 恢 复 公式 为 

M= y" QU —rx)mod(p— 1) 

由 上 述 讨 论 可 知 ,基本 的 EIGamal 数字 签名 协议 可 艇 人 潜 信 道 。 人 们 自然 会 想到 DSA 
ERRAR AÑ. Simmons 于 1993 年 发 现 了 DSA 中 的 一 种 潜 信道 5] 。 他 认为 ,DSA 提 
供 了 至 今 发 现 的 最 适宜 于 潜 通 信 的 环境 。NIST 和 NSA 还 未 对 此 潜 信 道 作 出 评价 ,没有 人 
知道 他 们 是 否 早 就 知道 潜 信道 。 因 为 潜 信 道 使 不 诚实 的 DSA 实现 者 可 以 在 每 次 签名 时 泄 
露 密 钥 的 一 部 分 ,从 而 对 签名 方案 构成 威胁 。 使 用 者 在 选用 别人 给 你 实现 的 DSA 时 要 十 分 
慎重 。 关 于 DSA 的 潜 信道 的 详细 讨论 参见 文献 [3]。 

文献 [1] 和 [4] 中 还 介绍 了 在 签名 协议 中 谋 入 潜 信 道 的 其 他 协议 。 文 献 [5] 中 还 讨论 了 
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在 下 一 章 将 要 介绍 的 Fiat-Shamir 和 Feige-Fiat-Shamir WA) Bid rP tA IB fa A IL R 
对 其 可 能 的 滥用 。 事 实 上 ,任意 签名 协议 都 能 转化 成 潜 信道 协议 。 


8.2 不 可 否认 的 数字 签名 协议 


不 可 否认 的 数字 签名 (Undeniable Digital Signature) 是 由 Chaum 和 Antwerpen 在 
1989 年 提出 的 [9 。 不 可 否认 的 数字 签名 是 一 种 特殊 的 数字 签名 , 它 具 有 一 些 新 颖 的 特征 ， 
没有 签名 者 的 合作 ,接收 者 就 无 法 验证 签名 ,在 某 种 程度 上 这 种 签名 保护 了 签名 者 的 利益 。 
这 种 签名 在 某 些 应 用 场合 是 十 分 有 用 的 。 例 如 ,软件 开发 者 可 利用 不 可 否认 的 数字 签名 对 
他 们 的 软件 进行 保护 ,使 得 只 有 付 了 钱 的 顾客 才能 验证 签名 并 相信 开发 者 仍然 对 软件 负责 。 

一 个 不 可 否认 的 数字 签名 的 真 伪 性 是 通过 接收 者 和 签名 者 执行 一 个 协议 来 推断 的 ( 假 
定 签名 者 参加 了 这 个 协议 ), 这 个 协议 称 为 否认 协议 (Disavawal Protocol) 。 因 为 签名 者 可 
声称 一 个 合法 的 签名 是 伪造 的 ,在 这 种 情况 下 ,如 果 签 名 者 拒绝 参加 验证 ,就 可 认为 签名 者 
有 欺骗 行为 。 如 果 签 名 者 参加 验证 ,由 否认 协议 就 可 推断 出 签名 者 的 真 伪 性 。 自 从 不 可 否 
认 的 数字 签名 诞生 以 来 ,人 们 围绕 这 种 签名 讨论 了 一 系列 相关 的 签名 ,如 可 转移 的 不 可 否认 
的 数字 签名 、 零 知识 的 不 可 否认 的 数字 签名 等 。 

一 个 不 可 否认 的 数字 签名 协议 由 以 下 3 部 分 组 成 : 一 个 签名 算法 一 个 验证 协议 和 一 
个 否认 协议 。 现 在 首先 来 介绍 Chaum-Van Antwerpen 不 可 否认 的 数字 签名 协议 的 签名 算 
法 和 验证 协议 。 

设 p 二 2g 十 1 是 一 个 使 得 g 是 素数 并 且 在 Z， 上 的 离散 对 数 是 难处 理 的 素数 ,a€ Z; 是 
一 个 阶 为 4 的 元 素 ,1<a<g 一 1, 令 p= mod p。 设 G 表 示 Z; 中 的 阶 为 9 的 乘法 子 群 
(G 由 模 p WOK MA HM). P=A=G, E X. K— (COpsasa p) | B—a* mod p)} fi pra Fl 
B 是 公开 的 ,a 是 秘密 的 。 

Xt K=(prara,P) Al LEGEAN y—Sigy G2) —a*mod p。 对 工 ,y€EG, 通 过 执行 下 列 协 
议 来 验证 签名 : 

A) 接收 者 A 随机 选择 e1 ,es EZ; 。 

(2) A TEE c — y^ p: mod p, 并 将 c 发 送 给 签名 者 B。 

O) B 计 算 d 二 ce" imod pF d 发 送 给 A。 

(4) A 将 y 作为 合法 的 签名 接收 , 当 且 仅 当 d—25 a° (mod p), 

下 面 就 来 证 明 B 只 能 以 很 小 的 概率 欺骗 A。 这 个 结果 不 依赖 于 任何 计算 假设 ,也 就 是 
说 ,安全 性 是 无 条 件 的 。 


定理 8.1 如 果 y 关 zx*mod bi LAGE A 将 以 二 的 概率 把 y 作为 z 的 一 个 合法 签名 


接收 。 

WEBB 因为 y 和 8 都 是 阶 为 素数 g 的 乘法 群 G 中 的 元 素 ,所 以 每 一 个 可 能 的 口令 c 恰 
好 对 应 于 9 个 有 序 对 (e ,es)。 当 签名 者 B 接收 到 口令 c 时 ,他 没有 办 法 知道 c 是 A 用 这 g 个 
可 能 的 有 序 对 (e; ,e;) 中 的 哪 一 个 来 构造 的 。 下 面 就 来 说 明 , 如 果 y 隆 x*mod p ,那么 B 所 作 
的 任何 可 能 的 回答 dE€G 恰好 和 这 g 个 有 序 对 (el ,e;) 中 的 一 个 一 致 。 

因为 a 是 G 的 生成 元 ,所 以 能 将 G 中 的 每 一 个 元 素 表示 成 a 的 宕 次 方 。 设 c 一 w ,4 一 
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à ,x—a* yd ij k € 2Z,。 考 虑 下 列 两 个 同 余 式 : 
c = y^ f° (mod p), d= xr^a* (mod p) 
上 面 两 个 同 余 式 等 价 于 下 面 两 个 同 余 式 : 
i = le, ae; [mod q) 
(8-1) 
j = ke, c e; (mod q) 
现在 假定 y 5a" mod p, 这 等 价 于 1 关 ak (mod q). MARA BA (8-1) 的 系数 矩阵 为 


[. 1er | 1 |=1-ak žo mod q) ,所 以 方程 组 (8-10) 有 唯一 解 。 也 就 是 


说 ,每 一 个 4€EG 恰好 是 对 g 个 可 能 的 有 序 对 (el ,e;) 中 之 一 的 正确 回答 。 因 此 ,B HR DLL 


的 概率 给 A 一 个 能 通过 验证 的 回答 d。 

现在 来 介绍 Chaum-Van Antwerpen 不 可 否认 的 数字 签名 协议 的 否认 协议 。 该 协议 由 
两 轮 验证 协议 组 成 。 步 骤 (1) 一 (4) 和 步骤 (5) 一 (8) 构 成 两 轮 不 成 功 的 验证 协议 。 步 又 (9) 
是 一 个 一 致 性 检测 (Consistency Check) ,这 个 检测 能 使 A 确定 是 否 B 按 协 议 中 规定 的 方式 
形成 他 的 回答 。 否 认 协 议 的 详细 执行 过 程 如 下 : 

(D A 随机 选择 e1 ,es EZ; o 

(2) A 计算 c 二 y%B“*mod p, 并 将 c 发送 给 B。 

(3) BHA d= imod p, 并 将 d 发 送 给 A。 

(4) A RHE d Ær" a mod p, 

(5) A 随机 选择 fi f € 2 。 

(6) A HH C — y^ g^ mod 户 , 并 将 C 3X9 B. 

(7) Bit D—C* "mod p, 并 将 DD 发 送 给 A。 

(8) A WHE DÆ’ amod p, 

(9) A 作出 推断 : y J&— 1 Dii , 4 AL Cda) — (Da ^) (mod p). 

现在 需 说 明和 否认 协议 可 做 到 以 下 两 点 要 求 : 一 是 B 能 使 A 相信 一 个 不 合法 的 签名 是 
一 个 伪造 ;二 是 B 以 一 个 很 小 的 概率 使 A 相信 一 个 合法 的 签名 是 一 个 伪造 。 

定理 8.2 MR yAx'mod p, 并 且 A 和 了 都 采纳 了 否认 协议 ,那么 (da i= 
(Da ^: )^ (mod p). 

证 明 因为 d=c* (mod p) c y^ f: (mod p) .ff—a* (mod p) ,所 以 有 

(da^: = (Cyn g Y a7: )^ (mod p) 
= ys Be fia (mod p) 
= yi aiia i (mod p) 
= a^^ (mod p) 

FEIRET 1-36 HB (Da ^: ) a^ (mod p). 

所 以 否认 协议 中 步骤 (9) 的 一 致 性 检验 是 成 功 的 。 

定理 8. 2 说 明了 否认 协议 可 做 到 上 述 第 一 点 要 求 。 

B 也 许 企图 否认 一 个 合法 的 签名 。 在 这 种 情况 下 ,不 假定 B 采纳 了 协议 ,也 就 是 说 ， 
B 也 许 没有 按 协 议 的 规定 去 构造 4 和 DD。 因 此 ,在 下 面 的 定理 8.3 中 ,只 假定 B 能 产生 满 
足 否 认 协 议 中 步骤 (4)、(8) 和 (9) 的 值 4 RID, 
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定理 8.3 HE y=r (mod p) ,并 且 A 采纳 了 否认 协议 。 如 果 d sr a (mod p) 并 且 
DD 关 zhah (mod p) ,Jl (da: )^ E (Da ^: ) (mod. 用 的 概率 是 1 一 


q 
证 明 假定 下 列 的 同 余 式 成 立 : y= (nod p) 
dF x^ a? (mod p) 
DF x^ a^: (mod p) 
(da^ )^ = (Da^^ )^ (mod p) 
将 导出 一 个 矛盾 。 


一 致 性 检测 (步骤 (9)) 可 表示 成 下 列 形式 : D— dfi a: (mod p), dy — dia, mod p 
是 仅仅 依赖 于 否认 协议 中 步骤 (1) 一 (4) 的 一 个 值 。 


由 定理 8.1 知 ,y 是 du 的 合法 签名 的 概率 为 in] 但 是 已 假定 > 是 z 的 合法 签名 ,所 


以 a*—di (mod p) 的 概率 为 1 一 二 ,这 暗含 着 dy 的 概率 为 m 


然而 ,事实 4 Ax. a*? (mod p) RWB x Fda * (mod p). AW 
d, 7d'^a7^/^ (mod p) ,- MWA rAd, ,这 是 一 个 矛盾 。 


故 B 欺 骗 A 的 概率 为 二 。 
定理 8. 3 表明 ,否认 协议 可 做 到 上 述 的 第 二 点 要 求 。 


8.3 Fail-Stop 数字 签名 协议 


Fail-Stop 数字 签名 的 不 可 伪造 性 也 依赖 于 一 个 计算 假设 ,具体 地 说 ,如 果 有 人 伪造 了 
签名 者 的 一 个 签名 ,那么 该 签名 者 能 够 证 明 作 为 协议 依存 基础 的 计算 假设 已 被 攻破 ,从 而 证 
明 该 签名 属 伪造 。 这 个 证 明 不 依赖 于 任何 密码 假设 , 它 也 可 能 失败 ,但 失败 的 概率 独立 于 伪 
造 者 的 计算 能 力 ,从 而 能 保护 具有 多 项 式 时 间 计 算 能 力 的 签名 者 免 遭 具有 无 限 计 算 能 力 的 
伪造 者 的 攻击 。 再 者 ,在 第 一 次 伪造 之 后 ,系统 的 所 有 参加 者 或 系统 操作 人 员 都 知道 签名 协 
议 已 被 攻破 ,因此 系统 将 终止 工作 ,这 是 该 系统 为 什么 称 为 “Fail-Stop( 失 败 -停止 )” 的 原因 。 

一 个 Fail-Stop 数字 签名 协议 主要 由 3 个 算法 构成 , 即 签名 算法 、 验 证 算法 和 “伪造 证 
明 ” 算 法 (这 里 “伪造 证 明 ” 指 对 伪造 签名 的 一 种 证 明 )。 一 个 安全 的 Fail-Stop 数字 签名 协议 
应 具有 下 列 特性 。 

CD 如 果 签 名 者 正确 地 签 一 个 消息 ,那么 接收 者 接收 这 个 签名 。 

(2) 一 个 具有 多 项 式 界 计算 能 力 的 伪造 者 不 能 构造 签名 使 之 通过 验证 。 

(3) 具有 无 限 计算 能 力 的 伪造 者 构造 出 得 以 通过 验证 的 签名 的 概率 极 小 ,签名 者 对 于 
一 个 伪造 的 签名 能 产生 并 出 示 一 个 “伪造 证 明 ” 使 得 第 三 方 相信 该 签名 确 属 伪造 (这 一 特性 
保证 签名 者 的 安全 ) 。 

(4) 一 个 具有 多 项 式 界 的 签名 者 不 能 构造 他 能 对 它 产生 “伪造 证 明 ” 的 非法 签名 (这 一 
特性 保证 接收 者 的 安全 )。 

下 面 来 介绍 一 个 Fail-Stop 数字 签名 协议 ,该 协议 是 Van Heyst 和 Pedersen 于 1992 年 
提出 的 中 , 即 一 个 密 钥 只 能 用 来 签名 一 次 。 首 先 描述 Van Heyst-Pedersen 的 Fail-Stop 数 
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字 签 名 协议 中 的 签名 算法 和 验证 算法 。 

设 p=2q+1, p 5 q 是 素数 , 且 在 Z, 上 的 离散 对 数 问题 是 难处 理 的 ,cE Z; 是 一 个 阶 
为 4 的 元 素 。 设 ] 委 wm 委 g 一 1, 定 义 8 一 om mod p. fÉ p.q.a.B fla, 由 一 个 可 信 中 心 来 选 定 
(假定 系统 中 存在 这 样 的 中 心 )。p、q、a 和 8B 是 公开 的 ,ao 的 值 对 任何 人 (包括 B) 都 是 保 
密 的 。 

d P=Z,,A=Z,XZ,, 84H B 的 密 钥 K 形 如 开 一 (Xi ya sab b) asa, 
b, ,b; € Z, y. =a B° modp, y, =a" g* modp, BAF yi ,7 ,保密 a1 ,as sb ,Db,。 

密 钥 K=(y,y: ,a sas,b sb) SAB rE Z, 的 签名 定义 为 y —Sigk (2) = Cy») € 
ZX Z, 3X Hl yi — C(ai +2xb,) mod q, y: =(a:+xb:) mod q. 

用 Verk(Cz,y) 表 示 签 名 验证 函数 , 易 见 

Verk (x,y) = É Sn yi = a g*: (mod p) 

下 面 讨论 该 协议 的 安全 性 。 首 先 看 一 看 有 关 密 钥 的 一 些 基本 事实 。 

密 钥 K,— On ,ys +a; saz bi sba) HI K,—QOs Ya sa; bi sb: Et Ji » —Yon—Yn. 
可 以 证 明 任何 一 个 等 价 类 中 恰 有 gq 个 密 钥 。 关 于 等 价 密 钥 有 以 下 一 些 简单 事实 。 

引 理 8.1 假定 K 和 K'“ 是 等 价 的 密 钥 , 如 果 Verk(z,y) 王 真 ,那么 Vere (ry =Ñ. 

证 明 可 设 K=(% ,yz va a,b ,b2),K’=( %2 +) 442,01 02) dd fray = Qui — 
a^ p”) (mod p) ,类 似 地 定义 fe Cry). AU fk Cr 3) — fie (ary). VergCr,y) Ke 
fx(asy)=08 fy Gy) 20e Vere (x, y) =H. 

引 理 8.2. 给 定 密 钥 K 和 消息 rEZ ,那么 惟有 4 个 与 天 等 价 的 密 钥 K 使 得 Sige C) — 
Sigk Cr), 

证 明 W K—(yi viai a,b sb), Yi — o5 mod p.c; € Z,,i—1,2, X idSigk (x)= 
On D. SE BH K'— (V yr unm n) KS K Hir H Sige (x)= Sigg (x) 4 AL 
M yj— y; 671,2, B Gn susu ,vs) 适 合 下 述 方 程 : 


1 

BG iu; s0)" = (Cci sc2s yi y2)" (mod q), B= oe Ded i 
t uo 
O° 1-0 x 
容易 检验 B 的 秩 为 3, (ui ,zyuyu) 一 (ayaz'piyp) 是 方程 的 一 个 解 ,所 以 该 方程 的 解 空间 
的 维 数 为 4 一 3 三 1, 故 恰 有 q 个 这 种 密 钥 。 

引 理 8.3 给 定 密 钥 Ki B, c ria Ar, WREAK EFK, H Sige (z) 一 
Sigk (x), Sign (zx)=Sigr Cr ,那么 K'—K, 

引 理 8. 3 的 证 明 类 似 于 引 理 8. 2 的 证 明 。 

综 上 所 述 , 有 下 述 定理 。 


定理 8.4 AE Sigg G2) — y Mar’ Ar. CF C Sigr (x) 的 概率 是 十 。 


定理 8.4 的 安全 性 是 无 条 件 的 , 即 不 依赖 于 C 的 计算 能 力 , 因 为 C 无 法 区 别 出 B 使 用 
了 使 得 Sigr C) — y 的 g 个 可 能 的 密 钥 K 中 的 哪 一 个 。 迄 今 为 止 ,已 经 说 明了 ,给 定 消息 
工 的 一 个 签名 y,C 不 能 计算 B 对 不 同 的 消息 z“ 的 签名 y 。 但 C 也 许 能 伪造 一 个 合法 的 , 即 
可 通过 验证 的 签名 y" = Cft o0 ,虽然 Y 隆 Sigr (x')。 然 而 , 面 对 这 样 一 个 合法 的 伪造 签名 ， 
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B 能 由 它 算出 a 一 logB 的 概率 是 cs a, 只 有 可 信 中 心 知道 ,B 可 用 ae 作为 该 签名 


的 伪造 证 明 。 下 面 说 明 B 如 何 计算 a。。 

由 假设 ,可 通过 验证 , 即 y y7 — B% (mod p)。 将 B 自 己 对 xz 的 签名 记 作 y — Or y», 
H Ny =a% Bp" (mod p). [JE a% p% =a" 8% (mod p). A —«* mod p, ERM F 
yi Hasy, =y; +a y: (mod q) , Bl yi — yi =a (y — yz) (nod q) 。 因 为 多 是 一 个 伪造 , 依 引 理 
8. 2, y; =y: (mod gq) 成 立 的 概率 仅 为 1/g, 所 以 以 1—1/q BURESETETE Cy: — y). mod q, M 
而 以 同样 的 概率 可 求 得 

a, = log.B = Cy — y Gy; — y?) mod q 

当然 ,是 在 签名 者 B 不 能 计算 离散 对 数 log.g 这 一 假定 的 条 件 之 下 ,第 三 方 接收 B 的 这 
一 伪造 证 明 。 

最 后 指出 ,Van Heyst-Pedersen 签名 协议 是 一 个 一 次 签名 协议 ,因为 如 果 使 用 同一 个 
BAK 签 两 个 不 同 的 消息 ,那么 很 容易 计算 出 该 密 钥 K. 


8.4 和 群 数字 签名 协议 


群 数字 签名 允许 群 中 的 每 个 成 员 都 能 以 群 的 名 义 匿名 地 签发 消息 。 群 数字 签名 具有 下 
列 3 个 特性 。 

CD. 只 有 群 的 成 员 才 能 代表 该 群 签 发 消息 。 

(2) 签名 的 接收 者 能 验证 它 是 该 群 的 合法 签名 ,但 不 能 揭示 它 是 群 中 哪个 成 员 所 签 。 

(3) 在 发 生 争端 的 情况 下 ,借助 于 一 个 可 信 机 构 能 识别 出 执行 签名 的 成 员 。 

一 个 群 数字 签名 协议 主要 由 3 个 算法 组 成 , 即 签名 算法 、 验 证 算法 和 识别 算法 (用 来 识 
别 签名 者 ) 。 

这 种 签名 的 一 个 实用 的 例子 是 投标 ,这 里 群 是 指 由 所 有 的 提交 投标 的 公司 组 成 的 集合 ， 
每 个 公司 是 群 中 成 员 。 每 个 公司 匿名 地 使 用 群 数字 签名 签 他 的 投标 , 当 特 定 的 投标 被 选中 
后 ,那个 签名 者 能 被 识别 出 ,而 所 有 其 他 投标 公司 仍然 是 匿名 的 。 如 果 签 名 者 反悔 他 的 投 
标 ,那么 无 需 签名 者 的 合作 ,他 的 身份 能 被 计算 出 。 

下 面 描述 一 个 群 数字 签名 协议 ,该 协议 是 由 Chaum 和 Van Heijst 于 1991 年 提出 的 四 。 
首先 来 描述 该 协议 的 基本 思想 。 假 定 有 交 个 人 构成 了 一 个 群体 G,T 是 一 个 可 信 中 心 , 可 信 
中 心 给 每 个 成 员 分 发 一 张 秘密 密 钥 表 ( 这 些 表 是 互 不 相交 的 ) ,并 且 将 该 群体 中 所 有 成 员 的 
所 有 秘密 密 钥 对 应 的 公 钥 以 随机 的 次 序 排 成 一 张 表 公开 。 这 样 , 每 个 成 员 就 能 用 他 自己 的 
秘密 密 钥 表 中 的 秘密 密 钥 签署 消息 ,并且 接 收 者 能 用 公开 的 表 中 的 公 钥 验证 签名 。 每 个 密 
钥 只 能 使 用 一 次 ,否则 ,接收 者 能 将 这 些 签名 联系 在 一 起 。 因 为 是 可 信 中 心 工 产生 的 秘密 
密 钥 表 ,所 以 工 知 道 公 钥 和 签名 成 员 之 间 的 对 应 关系 ,一 旦 发 生 争端 ,T 就 可 解决 这 一 争 
端 。 在 这 个 方案 中 ,每 个 成 员 得 到 一 张 固定 的 表 , 方 案 中 公 钥 的 总 数 是 群 成 员 人 数 n 的 一 个 
线性 函数 ,但 每 个 成 员 所 能 签名 的 次 数 是 固定 的 。 

设 志 是 一 个 使 得 在 Z, 上 计算 离散 对 数 是 不 可 行 的 大 素数 ,g EZ, 的 一 个 生成 元 。 设 
群 中 共有 个 成 员 , 每 一 个 群 成 员 只 有 一 个 基本 的 秘密 密 钥 s;(1 志 i<n), 对 应 的 公 钥 是 
g' mod p(1i<<n) ,可 信 中 心 工 有 一 张 这 些 公 钥 和 群 成 员 的 名 字 相 对 应 的 表 。 可 信 中 心 
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本 对 每 一 个 群 成 员 i 随机 选择 一 个 数 r;€ 2Z; (这 里 的 r 也 称 为 盲 因子 ), 并 将 表 (g*)" A< 
i<n) 公 开 (这 种 公 钥 也 称 为 盲 公 钥 )。 每 个 群 成 员 i 可 使 用 sir; mod(p 一 1) 作 为 秘密 密 钥 ， 
使 用 ElGamal 型 数字 签名 算法 .不 可 否认 的 数字 签名 协议 等 对 消息 z 进行 签名 。 可 信 中 心 
可 周期 性 地 给 群 成 员 更 换 讶 因子 r; (1<i<n)。 

该 协议 的 签名 过 程 和 验证 过 程 与 所 选用 的 数字 签名 协议 有 关 。 当 接收 者 收 到 一 个 消息 
的 签名 时 ,他 试 着 用 公开 的 公 钥 表 中 的 每 一 个 公 钥 去 验证 ,只 要 有 一 个 公 钥 使 签名 通过 验 
证 ,就 说 明 这 个 签名 是 该 群 的 一 个 合法 签名 。 如 果 发 生 争 端 ,接收 者 可 将 通过 验证 的 公 钥 和 
签名 一 起 送 交 给 可 信 中 心 T,T 可 利用 这 些 信 息 及 他 存储 的 公 钥 与 群 成 员 名 字 的 对 应 表 找 
出 对 应 的 签名 者 。 


8.5 ” 盲 数字 签名 协议 


育 数 字 签名 中 在 某 些 参 加 者 需要 匿名 的 安全 协议 中 有 着 广泛 而 重要 的 应 用 ,如 在 选举 
协议 、 安 全 的 电子 支付 系统 中 。 讶 数字 签名 协议 是 满足 下 列 两 项 要 求 的 一 种 数字 签名 协议 : 
中 消息 的 内 容 对 签名 者 是 育 的 (不 可 见 的 ); @ 在 接收 者 将 盲 签名 转化 为 非 讶 签名 后 ,签名 
者 不 能 追踪 签名 。 目 前 已 有 大 量 文献 讨论 了 盲 数字 签名 协议 的 实现 和 应 用 问题 。 本 节 介绍 
两 种 类 型 的 盲 数 字 签 名 协议 ,它们 分 别 基于 RSA 密码 算法 和 离散 对 数 问题 。 

做 育 数字 签名 时 ,接收 者 先 将 要 求 签 名 的 消息 进行 盲 变 换 , 把 变换 后 的 消息 ( 称 为 盲 消 
息 ) 发 送 给 签名 者 ,签名 者 对 盲 消息 进行 签名 并 把 签名 送 还 给 接收 者 ,接收 者 对 签名 再 做 逆 
盲 变换 ,得 出 的 消息 即 为 原 消 息 的 讶 签名。 这 个 过 程 如 图 8. 1 所 示 。 


Tim) 
amr | 一 一 | 答 名 者 8 签名 


接收 者 4 


ay Gace cl " 
接收 者 A TS | CERRAR T Sio» | Siga(T(m)) 


图 8.1 讶 数字 签名 协议 的 签名 过 程 


言 变换 实现 了 盲 数字 签名 的 上 述 两 项 要 求 。 下 面 首先 来 描述 一 个 基于 RSA 密码 算法 
的 盲 数 字 签名 协议 。 

签名 者 B 选择 两 个 大 素数 p 和 9g, 以 及 一 个 单 向 函数 f, 并 随机 选择 一 个 e. 使 得 
gcd(e,gp(n)) 二 1, 其 中 =pq。 由 ed 三 1(modg(n)) 求 出 d 三 e 'mod gln)。B 公开 (n,e) 和 
SARE pad., 

如 果 接 收 者 A 想 让 B AEEA sc. BAA 先 随机 选择 一 个 数 k€ 2 
Ck 称 为 盲 因子 ) ,计算 2’ = f GO k'mod n, 并 将 a 3X5 B. B 收 到 xz' 进 行 签名 得 y’ 二 


Sigs (z^) ^ (x) mod n。 然 后 B 将 签名 y' 发 送 给 A,A IR y Y = PG) mod n, ME 


A 得 到 了 B 对 z 的 一 个 讶 签名 y。 显 然 ,y x 的 一 个 合法 签名 。 但 B 在 签名 过 程 中 从 来 
没有 看 到 过 x 和 y, 他 无 法 将 (z,y) 和 (zx Ly ) 联 系 起 来 。 

其 次 ,描述 一 个 基于 离散 对 数 问题 的 盲 数 字 签 名 协议 。 

签名 者 选择 两 个 大 素数 p 和 9g ,使 得 在 Z, 上 计算 离散 对 数 是 困难 的 ,并 且 g|(p 一 1) 。 选 
择 一 个 阶 为 gq 的 数 a€ Z; 和 一 个 秘密 密 钥 ,公开 paa 和 > 一 ormod p. RH x. 
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如 果 接 收 者 A 想 让 签名 者 B 给 他 育 签 一 个 消息 m IBA B cB SLE EE— RE EZ; ， 
计算 > 一 cz mod p, 并 将 7 发 送 给 A. A 随机 选择 两 个 数 a ,5ERZ。, 计 算 r 一 产 cemod p ñ= 
am Fr^' mod g, 并 将 广发 送 给 B。B ir ds — Gc F- Ki) mod g, 并 将 5 发 送 给 A, A 计算 
5— Gr F^! --bm) mod qW) BIN E m 的 盲 签名 是 整数 对 (r,s), 验证 方程 是 a = 
y'r"mod p. 

发 送 者 A 签名 者 B 
k ERZ; 
< 一 FO =a" mod p 
a,b € aZ, 
r = F*a’mod p 


ñ = am Fr modq > ;— (FÉ m)mod q 


s = Grr! +bm)mod q < 一 
盲 数 字 签 名 在 某 种 程度 上 保护 了 用 户 的 利益 ,但 盲 数字 签名 的 匿名 性 也 能 被 犯罪 分 子 
滥用 ,为 了 阻止 这 种 滥用 ,人 们 引入 了 公平 盲 数字 签名 的 概念 并 给 出 了 一 些 具体 实现 。 公 平 
盲 数字 签名 比 盲 数 字 签名 多 了 一 个 特性 : 借助 可 信 中 心 可 将 消息 - 盲 签名 对 和 签名 者 在 执 
行 签名 协议 时 观察 到 的 对 应 的 盲 消息 联系 起 来 。 也 就 是 说 ,通过 可 信 中 心 , 签 名 者 可 追踪 
签名 。 


8.6 门限 数字 签名 协议 


门限 密码 技术 最 早 是 由 Desmedt 和 Frankel 提出 的 "" ,是 以 秘密 共享 技术 为 基础 的 
一 种 技术 。 文 献 [12] 和 [13] 分 别 考虑 了 门限 EIGamal 密码 技术 和 门限 DSA 密码 技术 。 其 
基本 思想 是 将 加 密 或 者 签名 所 需要 的 密 钥 通过 秘密 共享 技术 分 散 到 多 个 系统 部 件 中 ,只 有 
当 足 够 数量 (这 个 数量 称 为 门限 数量 ) 的 部 件 联合 ,才能 完成 一 次 加 密 和 签名 功能 。 换 言 之 ， 
只 有 获得 了 门限 数量 部 件 的 控制 权 , 才 可 能 恢复 出 系统 密 钥 ;只 要 有 门限 数量 的 系统 部 件 正 
常 工作 ,系统 就 可 以 正常 工作 ,并 且 系 统 就 可 以 采取 措施 恢复 到 最 初 的 安全 状态 。 

下 面 介 绍 文献 [13] 中 提出 的 门限 DSA 签名 协议 。 假设 系统 中 及 n 个 参与 者 Pi, P,,…， 
P, ,对 消息 x 进行 门限 签名 。 

首先 ,介绍 协议 中 使 用 的 联合 Shamir 随机 秘密 共享 (简称 Joint_Shamir_RSS) 协 议 , 分 
布 式 计算 两 个 共享 秘密 乘积 的 分 享 的 协议 和 分 布 式 计算 模 逆 的 分 享 的 协议 。 

Joint_Shamir_RSS Bi WF : 

(1) 每 个 参与 者 P. EZ, 上 随机 选取 一 个 上 AX ED f(x) (t+ 1<n), fs; — f,(0) 
为 P; 的 秘密 信息 ,P; 给 每 个 参与 者 了 分 发 秘密 分 享 o5 一 f:(j)。 


D 每 个 参与 者 P; 计算 他 的 秘密 分 享 信息 o; = Do CH P; 没有 收 到 从 P; 发 来 的 信 


息 时 , 令 6 一 0), 那 么 就 得 到 (a siya ee ur mod q, Ë F Co sya e mod q 表示 由 
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Joint Shamir RSS pi 4: MUAY 3E FE 9| (o; 15i ,其 秘密 共享 信息 是 oc 二 Yo , 而 且 该 序 


列 构成 一 个 (十 1,z) 门 限 序列 。 

给 定 两 个 共享 秘密 u 和 w, 如 何在 不 揭示 wu 和 w 的 任何 信息 的 情况 下 计算 出 秘密 信息 
u. v 的 秘密 分 享 ? 最 直接 的 做 法 是 : 每 个 参与 者 P; 都 将 对 应 于 秘密 u 和 wv 的 分 享 o; 和 pi 
进行 相 乘 ,他 将 收 到 一 个 次 数 为 2: 的 多 项 式 上 的 x。z 的 秘密 分 享 ,秘密 信息 可 由 2t 十 1 个 
正确 的 秘密 分 享 重 构 出 。 文 献 [13] 中 举例 说 明了 这 样 做 的 随机 化 程度 不 够 好 ,为 此 ,提出 了 
以 下 的 分 布 式 计算 两 个 共享 秘密 乘积 的 分 享 的 协议 。 

CD 采用 21 次 的 多 项 式 , 利 用 Joint_Shamir_RSS 协议 生成 零 秘密 的 分 享 序列 , 即 对 所 
有 的 i 二 1,2,…,n,fi(z) 的 次 数 为 2: B. f:(0)=0. 

D 将 w 和 w 的 秘密 分 享 相 乘 , 并 与 (1) 中 产生 的 零 秘密 的 分 享 相 加 。 

容易 看 到 ,将 零 秘密 的 分 享 相 加 到 一 个 实际 秘密 的 分 享 上 ,只 是 随机 化 了 分 享 并 没有 改 
变 实际 秘密 。 

给 定 共享 秘密 k mod q 的 秘密 分 享 ,如 何在 不 揭示 k 和 大 一 的 情况 下 计算 出 上 mod q 
的 秘密 分 享 ? 其 基本 思想 是 : 联合 生成 一 个 秘密 信息 0, 公开 值 2。 大 ,然后 计算 (5。 大 ) 一 并 
从 所 得 结果 中 找到 K 一 的 秘密 分 享 。 分 布 式 计 算 模 逆 的 分 享 的 协议 如 下 。 

CD 利用 Joint_Shamir_RSS 协议 生成 (5 «7 4b.) ** b mod q JEP b; È P ARTERY LE 
分 享 信息 。 

(2) 利用 分 布 式 计 算 两 个 共享 秘密 乘积 的 分 享 的 协议 ,计算 出 2。 大 的 秘密 分 享 。 

(3) 公开 5。 上 的 秘密 分 享 。 

(4) P, 通 过 以 下 公式 计算 大 一 的 秘密 分 享 wu : us (o e k) bmod q. 

在 门限 DSA 签名 协议 中 ,需要 计算 (ec mod p) mod q 的 秘密 分 享 而 不 是 k-! 的 秘密 分 
享 。 具 体 过 程 如 下 。 

CD 像 上 面 一 样 计 算出 0。 丰 的 秘密 分 享 。 

(2) 每 个 参与 者 PSH a^ mod p. 

(3) 对 指数 利用 拉 格 朗 日 插值 公式 可 计算 出 a^ mod p, 

(4) 计算 y= Ca) OT —a* mod p mod q. 

其 次 介绍 具体 的 门限 DSA 签名 协议 ,与 标准 DSA 签名 算法 不 同 的 是 ,该 协议 中 把 
k 换 成 了 K 一 ,因此 参数 y— (a^ mod p) mod g。 协 议 如 下 。 

CD 采用 :次 多 项 式 , 利 用 Joint_Shamir_RSS 协议 生成 (下 s. kn) £ k mod gq, 其 中 
k; 是 P; 保存 的 秘密 分 享 信息 ,k 是 所 生成 的 共享 的 随机 秘密 。 

(2) 像 上 面 一 样 ,计算 y=a* ^ mod p mod q, 

(3) 按 以 下 方式 计算 6 一 k(x 十 ay)mod qla 是 秘密 共享 的 签名 私 钥 ) : 

CD 像 上 面 一 样 通过 相 乘 两 个 共享 秘密 a 和 大 计算 和 公开 6 的 秘密 分 享 。 

@ 从 秘密 分 享 重 构 0. 

(4) 输出 工 的 DSA 签名 (7,5) 。 

验证 签名 比较 简单 ,只 需要 检查 y= p mod p 是 否 成 立即 可 。 

参数 和 + 之 间 的 关系 与 协议 的 抗 攻击 能 力 有 关 , 这 里 就 不 再 讨论 了 , 感 兴趣 的 读者 可 
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8.7 存在 特权 集 的 门限 数字 签名 协议 


门限 数字 签名 协议 就 是 签名 的 责任 被 一 个 由 多 个 签名 方 组 成 的 签名 方 集合 分 享 ,其 基 
本 思想 是 : n 个 签名 方 中 , 至 少 要 有 +t( 不 大 于 站 个 签名 才能 产生 一 份 消息 的 合法 签名 。 门 
限 数字 签名 协议 的 一 个 潜在 问题 是 : 各 签名 方 的 权限 是 等 同 的 ,但 实际 情形 并 不 总 是 这 样 。 
我 们 在 2000 年 提出 了 一 个 新 型 的 门限 数字 签名 模型 "9 ,这 种 模型 的 一 个 简单 示例 是 : 一 个 
公司 包含 两 类 董事 ,一 类 是 任职 董事 (8 人 ), 另 一 类 不 在 公司 任职 董事 (12 人 ); 要 通过 一 个 
提案 时 , 除 需 半数 以 上 董事 同意 (对 提案 签名 ) 外 ,为 保证 可 操作 性 ,还 要 求 其 中 至 少 包括 
6 名 任职 董事 ,同时 要 保证 表决 的 匿名 性 ,但 事后 在 得 到 授权 时 应 有 办 法 查 明 表决 情况 。 

更 一 般 地 ,以 上 情形 可 以 抽象 成 一 个 “存在 特权 集 的 门限 数字 签名 模型 ”: 一 个 由 个 
签名 方 组 成 的 群体 G, 有 m 个 不 相交 特权 子 集 G1 ,… ,G, ,每 个 子 集 有 n 人 ;要 产生 对 某 消 
息 的 合法 群 签名 ,至 少 需要 G;(i 二 1,2,…,m) 中 有 刀 人 同意 , 且 同 意 签名 方 总 人 数 至 少 为 t， 
还 要 求 具有 匿名 性 和 事后 确认 签名 方 身份 等 性 质 。 该 模型 可 称 为 (tm imt ns st] 
限 数字 签名 模型 。 实 际 上 该 模型 是 已 有 相关 模型 的 一 般 化 。 

下 面 给 出 实现 上 述 模型 的 一 个 具体 协议 "5 。 

为 了 叙述 方便 起 见 , 不 妨 假设 签名 方 群体 G 只 有 一 个 特权 子 集 G, ,下 面 将 会 看 到 ,推广 
到 多 个 特权 子 集 的 情况 是 很 容易 的 。 对 应 的 存在 特权 集 的 门限 数字 签名 协议 记 为 (4 m st.) 
门限 数字 签名 协议 。 

引入 以 下 记号 : 

KAC: 可 信和 密 钥 认证 中 心 , 负 责 颁发 密 钥 。 

SC: 签名 服务 机 构 , 负 责 颁 布 签名 。 

G: n 个 签名 方 组 成 的 群体 。 

Gi: G 的 子 集 ,至 少 有 其 中 的 方 参与 才 可 能 产生 合法 签名 , 称 为 特权 子 集 。 

KAC 首先 选取 安全 素数 pq HE gq|(p 一 1); 其 次 在 Z 上 秘密 随机 选取 2 个 多 项 式 
f Go g Go) ,次 数 分 别 为 (1 一 1) 和 (wt 一 1); 最 后 选取 Z, 的 本 原 元 a, 公 开 (p,g,a) 和 zx;， 
Xy € aZ, i1,2, ny j 1,2, m. 


1. 群 密 钥 和 群 私 钥 秘 密 分 享 的 产生 

id Shamir 秘密 共享 协议 为 SSS。 

群 私 钥 : 由 KAC 随机 产生 , 亦 即 (f(0) 十 g(0))mod q. 

群 公 钥 : z= aK" mod p, 

群 私 钥 秘密 分 享 分 发 : 采用 "双重 ”SSS( 分 别 为 (t,z 和 (Ca ,m) 门 限 SSS) , 即 

CD 如 果 i 是 普通 用 户 , 则 得 到 对 应 的 群 私 钥 秘密 分 享 为 f(z;) ,并 由 KAC BARA 
z= mod p, 

(2) 如 果 i 是 特权 集中 的 用 户 ( 简 称 为 特权 用 户 ), 则 得 到 对 应 的 群 私 钥 秘密 分 享 为 
f Ge gni) AF z; — af tae mod p, XE HE A; us 是 SSS 所 涉及 的 拉 格 朗 日 恢复 系 
数 , 是 公开 可 计算 的 。 以 上 过 程 实际 上 是 建立 了 各 用 户 的 公 、 私 钥 秘密 分 享 。 
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2. (Qj ,Mm ;tn) 门 限 数字 签名 的 产生 

不 妨 假设 只 有 t 个 人 参加 签名 , 且 恰 为 1,2,…,t, 设 被 签署 的 消息 为 m。 具 体 步骤 
如 下 。 

CD 单个 签名 的 产生 和 验证 。 对 每 个 i 二 1,2,…,t,i 秘密 随机 选取 k;€ Z; ,计算 r= 
a* mod p, 并 在 群 内 通过 广播 信道 匿名 广播 x;, 于 是 ,每 个 用 户 i 都 可 以 通过 下 式 计算 , 即 


r= Ir mod p 

若 ; 是 普通 用 户 , 则 计算 s: = Gs ee ee GË i 是 特权 用 户 , 则 计算 
i= Cf Ge Ah Qn) + g On; ) iih (m) — Kir)modg。 这 里 ) mi 是 SSS 所 涉及 的 拉 格 朗 日 恢复 
系数 ,是 公开 可 计算 的 ,h(。) 是 安全 的 Hash 函数 。 子 签名 (r,s;) 被 发 送 给 签名 服务 机 构 
SC, SC 可 以 按照 以 下 办 法 验证 所 提交 的 子 签名 的 合法 性 : 对 于 用 户 ;( 无 论 是 普通 用 户 还 
是 特权 用 户 ) ,验证 方程 

ari = o 

是 否 成 立 , 若 成 立 则 接受 子 签名 。 

(2) 签名 合成 。 如 果 SC 接受 所 有 提交 的 子 签名 , 则 计算 s= Gs Hs Hets mod gq, 输 
出 (r,s) 作 为 对 应 消息 m 的 门限 签名 。 


3. 签名 的 验证 和 事后 身份 追踪 
不 妨 仍 假设 共有 + 上 个 人 参加 签名 , 且 恰 为 1,2,…, 以 ,其 中 至 少 有 妇 人 属于 特权 子 集 。 显 
然 有 


t 4 t 
s= hin) C9 fco + D Ou, wo — 1 >) ki 
e 各 a 


= h(n) CfC) + g(0)) — 5 k: 
因此 有 以 下 验证 方程 成 立 , 即 


a'r’ = zm 

易 见 ,如 果 不 符合 特权 条 件 要 求 , 则 即使 有 上 个 以 上 人 员 参 加 签名 ,分 量 e COO B PCR 
是 不 可 能 的 ,从 而 得 不 到 群 私 钥 的 任何 信息 ;而 如 果 不 足 上 个 以 上 人 员 参 加 签名 ,即使 gC(0) 
可 以 恢复 ,但 却 不 可 能 恢复 F(C0) ,还 是 得 不 到 群 私 钥 的 任何 信息 。 

如 果 事 后 得 到 许可 ,需要 调查 是 哪些 人 员 参 与 签名 , 则 由 SC 追踪 签名 方 是 平凡 的 。 

值得 一 提 的 是 , Cth ,m itz 门 限 签名 协议 易于 推广 到 Ga em ;… ,ts ynm;t,n) 门 限 签名 协 
议 。 只 需 在 协议 建立 阶段 选取 m+ 1 个 多 项 式 f Go ,gi1(z),…,gn(z), 群 私 钥 被 选取 为 


(31a. + fO) )mod q; 每 个 特权 用 户 持 有 f(z) 及 对 应 的 g.(y ) ,其 余 同 前 。 
ici 
以 上 协议 也 可 以 不 要 求 KAC 存在 。 基 本 方法 是 : 各 用 户 自己 做 自己 的 KAC, 即 自行 
选择 (如 ElGamal 型 数字 签名 ) 公 私 钥 对 (z;,y;) RABIN y = TT» ,类 似 前 面 的 分 享 分 


发 过 程 , 各 用 户 采 用 “双重 SSS” 方 法 ， 把 自己 的 私 铀 分 享 分 发 给 其 余 (n 一 1 ) 个 用 户 , 门 限 签 
名 的 产生 是 类 似 的。 实际 上 就 是 采用 不 存在 可 信 中 心 的 秘密 共享 协议 为 基本 模块 ,建议 采 
用 Pedersen 或 Feldman VSS 协议 模块 。 


0 
k LLLI C LLLI 


利用 上 述 设 计 思想 可 以 构造 出 具有 消息 恢复 性 质 的 (tm;… ,ts,nm;t,n) 门 限 签 名 协 
议 , 也 可 以 构造 出 存在 特权 和 集 的 代理 门限 签名 协议 。 


8.8 可 验证 的 签名 共享 协议 


为 了 保护 数字 签名 ,Franklin 等 人 在 文献 [16] 中 提出 了 一 种 称 之 为 可 验证 的 签名 共享 
(VSS) 协 议 。 这 种 协议 的 基本 思想 是 : 可 使 一 个 数字 签名 文件 的 拥有 者 (拥有 者 可 以 是 也 
可 以 不 是 原来 的 签名 者 ) 把 这 个 签名 分 配 到 一 个 所 谓 的 代理 集 上 ,使 得 诚实 的 代理 日 后 可 以 
重 构 它 。 在 共享 阶段 结束 ,每 个 代理 能 验证 是 否 文 件 的 一 个 合法 签名 能 被 重 构 , 即 使 原来 的 
签名 拥有 者 或 某 些 代理 是 有 故障 的 。 另 外 ,在 重 构 之 前 有 故障 的 代理 没有 获得 一 个 诚实 的 
分 发 者 拥有 的 关于 签名 的 任何 信息 (但 确实 看 到 了 文件 本 身 )。 文 献 [16] 中 基于 RSA 数字 
签名 算法 、ElGamal 数字 签名 算法 、Schnorr 数字 签名 算法 和 DSA 等 给 出 了 一 些 可 验证 的 
签名 共享 协议 。 但 文献 [17] 中 指出 基于 DSA 的 VSS 协议 是 不 安全 的 ,并 提出 了 两 个 新 的 
基于 DSA 的 VSS 协议 。 

一 个 VSS 协议 由 共享 协议 和 重 构 协议 组 成 ,参与 者 包括 一 个 分 发 者 DD 一 个 重 构 者 
R 和 nn 个 代理 Pi,P,,…,P,。 这 里 假定 RR 是 诚实 的 。 

我 们 说 一 个 VSS 协议 是 1 弹性 的 ,如 果 它 满足 以 下 条 件 : 

(D 完全 性 (Completeness)。 如 果 D 是 诚实 的 ,至 多 + 个 代理 是 有 故障 的 , 则 每 个 诚实 
的 代理 都 将 接受 。 

(2) 合理 性 (Soundness)。 如 果 至 多 + 个 代理 是 有 故障 的 ,并 且 任 何 诚实 的 代理 在 共享 
阶段 结束 后 接受 , 则 每 个 诚实 的 代理 在 共享 阶段 结束 后 接受 并 可 被 成 功 地 重 构 。 

(3) 秘密 性 (Secrecy) 。 控 制 至 多 zt 个 有 故障 代理 的 敌手 在 参加 次 具有 诚实 的 的 共 
享 协议 之 后 所 能 计算 的 东西 ,与 他 没有 参加 任何 共享 协议 所 能 计算 的 东西 一 样 多 。 

我 们 说 一 个 VSS 协议 是 具有 启发 式 秘密 上 弹性 的 ,如 果 该 协议 的 完全 性 和 合理 性 是 可 
证 明 的 ,而 秘密 性 是 启发 式 的 , 即 有 一 些 证 据 表明 敌手 似乎 不 能 获得 任何 有 用 的 信息 。 


8.8.1 可 验证 的 离散 对 数 共享 协议 


一 个 公开 值 的 可 验证 的 离散 对 数 共 享 (Verifiable Discrete Log Sharing) 协 议 本 质 上 是 
一 个 可 验证 的 秘密 共享 协议 (当然 可 能 在 模型 上 稍 有 差异 ) , 它 是 VSS 协议 设计 的 核心 。 

K p.q.g 是 公开 的 ,p 和 4g 都 是 大 素数 且 gq1(p 一 1),g 是 Z; 中 的 一 个 g 阶 元 素 , 令 
<g> sleet"). PRE DI f a 并 共享 一 个 值 B, 他 声称 : Da€ <g>; OPE 
a 关于 基底 g 的 离散 对 数 , 即 a= g’mod p。 

一 个 可 验证 的 离散 对 数 共享 协议 由 共享 协议 和 重 构 协议 组 成 ,下 面 分 别 介 绍 这 两 个 
协议 。 

1. 共享 协议 

CD DD 秘密 地 发 送 消息 并 可 靠 地 广播 。 

(D D MILE a, ssa, ERZ S f(z) 二 asr' 十 … 十 a1z 十 B。 

© D 秘密 地 给 P; RAWA p= f GO mod gq,1<i<n。 
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© D 可靠 地 广播 ,ga mod p, ,8 mod p. 
(2) 设 从 (1) 的 @ 中 得 到 的 广播 值 表示 为 cm ，… ,wu。 每 个 代理 P: 对 所 有 的 代理 做 以 
下 的 可 靠 广播 。 


© 如 果 g^ Æ a [ [ Gu)” (mod p), 则 COMPLAIN( 投 诉 )。 
ju 


@ 否则 ,ALLOW( 人 允许 ) 。 

(3) 如 果 下 列 条 件 成 立 , 则 每 个 代理 都 ACCEPTS( 和 否则 REJECTS). 
(D 至 多 上 个 代理 COMPLAINED( 在 (2) 的 @ 中 ) 。 

© a’=1(mod p). 


2. 重 构 协 议 

(1) 每 个 代理 P; 发 送 给 R 如 下 信息 。 

O Be 

Q asust sto 

(2) R 按 以 下 方式 恢复 a 关于 基底 g 的 离散 对 数 。 

Q@R 利 用 择 多 原则 可 从 (1) 的 @@ 中 收 到 的 值 中 找 出 asu nenne 

Q R 从 (1) 的 中 收 到 的 值 中 去 掉 那 些 使 得 asus nu 不 一 致 的 , 即 gs A 


a TI («mod p 的 秘密 分 享 B。 


@R 从 (1) 的 @ 中 收 到 的 剩余 秘密 分 享 ,利用 拉 格 朗 日 插值 公式 恢复 出 一 个 次 数 至 多 
为 上 的 多 项 式 f(x)E Zr]. Bii B= FO). 


8.8.2 Franklin 等 人 的 基于 DSA 的 VSS 协议 及 其 安全 性 分 析 


DSA 的 描述 参见 1. 3. 2 小节, 这 里 也 采用 1. 3. 2 小 节 的 参数 和 符号 。 

Franklin 等 人 的 基于 DSA 的 VSS 协议 的 工作 流程 如 下 。 

D PRE DH rds 可 靠 地 分 发 给 所 有 的 代理 ,其 中 工 是 被 签名 的 文件 或 消息 ,6 一 
(SHA—1(2) +ay) Kmodg 是 z 的 签名 的 一 部 分 ,* 王 8 mod p, e: = yó 'mod q, y= 
(a* mod 5) mod q.9—a' mod p.a 是 签名 者 的 秘密 密 钥 ,k 是 签名 者 在 签名 消息 x 时 秘密 随 
机 选择 的 一 个 数 。 

(2) D 对 代理 们 做 es 的 一 个 可 验证 的 共享 (可 用 8. 8. 1 小 节 介 绍 的 可 验证 的 离散 对 数 
共享 协议 ) 使 得 他 们 相信 e 是 ;关于 基底 B 的 离散 对 数 。 

(3) 如 果 代 理 们 接受 对 数 共享 协议 并 且 B'= wmod p, t= Ca^ smod p) mod q, 
e —SHA—1G)8 ^! mod g, 那 么 他 们 接受 。 签 名 的 另 一 部 分 可 由 y= eð mod 9 构造 出 。 

文献 L[16] 中 声称 上 述 协议 在 一 定 假设 下 是 安全 的 ,但 文献 L[17] 中 指出 上 述 协议 是 不 安 
全 的 。 这 是 因为 当 一 个 代理 知道 rô ite 可 由 公式 e — SHA—1G09 ^! mod q 计算 出 ,从 
而 可 计算 出 oa mod p, 又 每 个 代理 都 知道 *, 所 以 他 可 以 计算 出 yx 一 (oas mod 9) mod g。 可 
见 ,无 须知 道 e; BI s 关于 基底 8 的 离散 对 数 就 能 恢复 y ,这 表明 收 到 分 发 值 zx.6\s 的 任何 代 
理 都 能 重 构 y。 实 际 上 y—:. 因此 ,上 述 协议 不 安全 。 


8.8.3 ”两 个 基于 DSA 的 VSS 协议 
文献 [17] 在 文献 [16] 的 基础 上 ,提出 了 两 个 基于 DSA 的 VSS 协议 。 当 n>3t+1 时 ， 


N 


* Lid is 32 $6 25 SO PR. 


这 些 协 议 是 具有 启发 式 秘密 上 弹性 的 。 

1. 第 一 个 协议 的 工作 流程 

(1) 分 发 者 也 将 z、Y、s、A 可 靠 地 分 发 给 所 有 的 代理 ,其 中 z 是 被 签名 的 文件 或 消息 ， 
7 二 (a*mod p) mod q J& x 4&4 RF — A 4r. 5 — B: mod p, A= smod p, e, = yó mod q, 
8—(SHA—1(2) tay) k^! mod q.8—a' mod p.a 是 签名 者 的 秘密 密 钥 ,k 是 签名 者 在 签名 
消息 z 时 秘密 随机 选择 的 一 个 数 。 

(2) D 对 代理 们 做 6 的 一 个 可 验证 的 共享 (可 用 8. 8. 1 小 节 介绍 的 可 验证 的 离散 对 数 
共享 协议 ) 使 得 他 们 相信 0 是 A 关于 基底 s 的 离散 对 数 。 

(3) 如 果 代 理 们 接受 对 数 共 享 协议 并 且 A=p mod z ,那么 他 们 接受 。 签 名 的 另 一 部 分 
6 可 从 对 数 共享 协议 中 重 构 。 

2. 第 二 个 协议 的 工作 流程 

CD AR DE us ess 可 靠 地 分 发 给 所 有 的 代理 ,其 中 工 是 被 签名 的 文件 或 消息 ， 
sı =a" mod f,5; —f': mod p.e —SHA—1(2)8 ^! mod q.e; — y8 ^! mod q,90—(SHA —1(2) + 
ay) k^! mod q,y=(a* mod p) mod q,f=a'mod p.a 是 签名 者 的 秘密 密 钥 k 是 签名 者 在 签 
名 消息 xz 时 秘密 随机 选择 的 一 个 数 。 

(2) 对 代理 们 做 es 的 一 个 可 验证 的 共享 (可 用 8. 8. 1 小 节 介 绍 的 可 验证 的 离散 对 数 
共享 协议 ) 使 得 他 们 相信 e 是 s 关于 基底 8 的 离散 对 数 。 

(3) 如 果 代 理 们 接受 对 数 共 享 协议 并 且 sp 529^? (mod p), 那 么 他 们 接受 。 其 中 y 
可 由 公式 7 三 (51ssmod p)mod q 获得 ,签名 的 另 一 部 分 9 可 由 9 一 cymod q 构造 出 。 

在 上 述 两 个 协议 中 ,给 定 rys A R asns 要 计算 出 3, 没有 计算 离散 对 数 能 力 的 人 
似乎 是 不 可 能 的 ,从 这 里 可 以 推断 这 些 协 议 具 有 秘密 性 。 关 于 这 些 协议 的 其 他 性 质 如 完全 
性 、 合 理性 等 的 讨论 类 似 于 文献 L[16] 中 的 有 关 讨 论 ,这 里 就 不 再 袭 述 。 


8.9 门限 签 密 协 议 


现实 世界 中 存在 以 下 这 种 情况 : 团体 A 要 发 送 某 消息 给 团体 B, 要 求 仅 当 A 中 特定 数 
目 以 上 的 人 联合 签名 消息 才能 生效 ,而 且 仅 当 B 中 一 定数 目 以 上 的 人 合作 才能 正确 阅读 并 
认证 该 消息 ,如 公司 间 的 商务 往来 等 ,一 般 还 可 以 要 求 满足 非 否 认 性 (Non-Repudiation)。 
把 这 种 模型 称 为 “门限 签 密 模型 ”。 

简单 地 复合 使 用 门限 加 密 技术 和 门限 签名 技术 ,可 以 给 出 实现 上 述 模 型 的 一 个 具体 协 
议 , 但 显然 实现 代价 较 高 ,而 且 可 能 要 重复 执行 许多 步骤 。 因 此 ,必须 寻找 节省 资源 (如 带 
宽 ) ,快速 有 效 的 实现 途径 。 


8.9.1 改进 的 基础 签 密 算 法 


为 了 给 出 一 个 实现 “门限 签 密 模型 "的 有 效 协议 ,我 们 对 文献 [18] 中 的 签 密 算法 进行 了 修 
改 , 得 到 了 以 下 的 基础 签 密 算 法 SC— (ComCk) Ka(k,cps), Ke Ck «cp. ,SC2 On) USCS H, 
©). 

COD Com(K)( 用 于 产生 公共 参数 ) : 随机 选择 两 个 大 素数 p 和 g,|p| 一 (安全 参数 )， 
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q|C9—D) 47724? ;g€ RZ; ,Ord(8) 一 4, 输出 cp.. 一 (p,q,g) FES € x 表示 随机 取 自 ) 。 

(2) KACkcp.O OH-Fj7/E REE AAD): m € eZ, ya =g mod p, 输 出 (ya rr) 

(3) Kas(CE,cps)( 用 于 产生 接收 方 公 、 私 钥 ) : zs € &Z, ys = g^? mod 户 , 输 出 (ye,zs) 。 

(4) SCR Gn) (对 消息 m % 9%): r€&Z,.K— y&mod p,r=G(K). bind= ya || ys 
c E, Gn) ,r=H(m || bind || K) ,s= (rz4 —x)mod g, 输 出 签 密 C=(c,r,s) ;其 中 ,G、H BE 
全 的 Hash 函数 ,E, 是 以 + 为 密 钥 的 抵抗 选择 明文 攻击 安全 的 对 称 加 密 算法 ,如 AES. 

(5) USCS H, CC) ( 收 方 解 密 认 证 ): 若 签 密 C 的 3 个 分 量 中 有 一 个 不 在 正确 的 定义 域 ， 
拒绝 ;否则 计算 w= yag’ mod p, K =w" mod p.c —GCKO. f m= D, CO 3 Wü 
H(m || bind || K) =r, MNE EAE m, 否 则 拒绝 。 

上 述 签 密 算 法 与 文献 [18] 中 的 签 密 算 法 相 比 , 只 修改 了 签 密 C 的 第 三 个 分 量 * 的 计算 
方法 , 即 把 原来 的 公式 * 一 z/(r 十 zA)mod q WH s— Ga — 2) mod gq, 显然 不 是 本 质 区 别 , 主 
要 目的 是 方便 8. 9. 2 小 节 的 门限 签 密 协议 的 设计 。 不 难看 出 , 签 密 方案 较 传统 标准 方法 (如 
Signature then Encryption) 在 节省 计算 资源 .提高 效率 等 方面 有 很 大 优势 。 


8.9.2 门限 签 密 协议 


本 节 介 绍 的 门限 签 密 协议 来 源 于 文献 [19], 该 门限 签 密 协议 主要 由 以 下 3 个 协议 组 成 : 
密 钥 生 成 协议 、(z 十 1,) 门 限 签 密 协议 和 (十 1,mm) 门 限 解密 验证 协议 。 


1， 密 钥 生 成 协议 

采用 文献 L[20] 中 提出 的 一 种 可 证 明 安 全 的 密 钥 分 配 协议 DKG 作为 密 钥 生 成 协议 TE 
该 协议 中 ,及 n 个 用 户 , 记 为 Pi ,P: ,…,P,。 该 协议 在 没有 任何 可 信 中 心 的 情况 下 协同 生 
成 群 公 、 私 钥 。 

设 g.h 是 2 个 阶 为 4 的 生成 元 (假定 离散 对 数 logsh 是 难处 理 的 )。 产 生 私 钥 z 的 过 程 
如 下 。 

(1) P; 作 为 自己 的 可 信 中 心 利 用 Pedersen 可 验证 的 秘密 共享 协议 产生 随机 值 x; : 

O P, 选 2 个 次 数 为 上 的 随机 多 项 式 f:e), fie) E Zle], 

Sil) =a tanzter+auz's f'ile) = bio t ba de + baz" 

Bz; =an = f: (0). P] dE Cu = g'"* h'* mod pCk 20,1. D, E s; — fi Gs; = 
SD G=1, 2.0 m) ,秘密 地 发 送 给 每 个 Pi 。 

Q P,G-—1,2,-- M REFR 


ghs = [[ (Cx)’ (mod p) (8-2) 
Pa 


是 否 成 立 ,如 果 失 败 则 广播 对 P; 的 一 个 投诉 (Complaint) 。 
O 作为 可 信 中 心 的 Pi;, 在 收 到 一 个 来 自 P; 的 投诉 后 ,广播 满足 等 式 (8-2) 的 sosh o 
@ 如 果 以 下 任何 一 种 情况 发 生 ,P, 均 被 标记 为 不 合格 (Disqualified) : 在 @ 中 受到 个 
以 上 投诉 或 在 回 中 回答 投诉 时 , 仍 用 不 满足 等 式 (8-2) 的 错误 值 回 答 。 
(2) 每 一 个 P; 建立 合格 用 户 集合 QUAL, 
(3) 群 私 钥 为 z = >) z mod q. 每 一 个 P, 的 相应 分 享 为 


i€ QUAL 


Ti 一 更 siimod qs z= 2j s; mod q 


j€ QUAL j€QUAL 
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群 公 钥 y=g mod p 的 生成 过 程 如 下 。 

CD) 利用 Fedleman 可 验证 的 秘密 共享 协议 揭示 e": Cy; — g^ mod p 实际 上 也 以 隐 含 方 
式 揭示 ): 

O Pi(i 属 于 QUAD) 广 播 An =g mod p(k 二 0,1,…,1)。 

Q 每 一 P; 验证 : 对 于 i 属于 QUAL SK 


g = [[ An)" (mod p) (8-3) 
Ro 


是 否 成 立 。 若 不 成 立 , 通 过 广播 满足 等 式 (8-2) 但 不 满足 式 (8-3) 的 s; (5 ) 来 投诉 P; (注意 等 
式 (8-3) 成 立 实际 上 等 价 于 公开 了 gs mod p), 

@ 对 于 在 @ 中 至 少 受到 一 个 合法 投诉 的 P;, 其 他 合法 用 户 运 行 Pedersen 可 验证 的 秘 
密 共 享 协议 的 恢复 算法 ,从 而 计算 出 (zi,fi(z),Ai)(k 二 0,1,…,t)。 任意 QUAL 中 用 户 
有 具有 子 公 钥 

yi = ee = g' mod p 
(2) 根据 等 式 (8-3) ,任何 一 个 QUAL 中 用 户 都 可 以 计算 y;, 因 此 各 方 得 到 群 公 钥 
了 = 

XC A, 是 对 应 的 拉 格 郎 日 插值 多 项 式 系数 ; ,是 公开 可 计算 的 

发 送 方 A 二 {Al，… ,A,} 和 接收 方 B= 二 {B,,…,B,} 分 别 调用 (zt 十 1)- 门 限 DKG 协议 和 
(十 1)- 门 限 DKG 协议 可 以 生成 。 

CD 发 送 方 群 公 钥 yA 一 8 FAA yAi 一 SA (i 二 1,2,…*,n)。 

(2) 接收 方 群 公 钥 ye 一 Sa FAI yu gm (i 二 1,2,*… m). 
这 里 zh 和 zg 分 别 对 应 A 和 B; 持 有 的 秘密 分 享 。 


2.(t 十 1,) 门 限 签 密 (TSC) 协 议 
公开 参数 的 产生 类 似 于 基础 签 密 算 法 SC。 开 始 执行 协议 时 所 有 参与 方 都 被 标记 为 合 
格 (Qualified)。 具 体 过 程 如 下 : 
(1) 每 个 A, € QUAL 随机 选取 z; EZ, ,公开 承诺 X,=g" mod p. 
(2) 每 个 A; 计算 并 广播 > 下 。 
(3) 每 个 A; 根据 广播 值 计算 
K= [[ Gi mod p( 形 式 记 为 yi)» 


i€ QUAL 
r=G(K), c=E,(m), r= HGn | bind | K), 
这 里 bind— y, || ys CA; 是 相应 的 拉 格 朗 日 系数 ,是 公开 可 计算 的 ) 。 
(4) 每 个 A; 计算 并 广播 5; 二 (rza 一 zi)mod qo 
(5) Ajj € QUAL) 验 证 等 式 


gX: 一 yN (8-4) 
Je 8 E ERRAL. BLUE A;。 
(6) A; 若 收 到 1 个 以 上 合法 投诉 , 则 标记 为 不 合格 ,其 余 各 合法 方 返回 到 (1) 。 
(7) 如 果 对 所 有 QUAL 中 用 户 而 言 , 等 式 (8-4) 都 成 立 , 即 最 终 确 立 QUAL. 
这 时 任意 QUAL 中 用 户 A;( 或 任意 一 个 组 合 器 Combiner) 计 算 
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E PE ( FLy: — 4 (rza PE )mod q) 
输出 C= 二 (c,r,s) 作 为 门限 签 密 。 

注 : (1)、(2) 均 可 以 预先 离线 计算 。 

3. (十 1,zo) 门 限 解密 验证 (TUSC) 协 议 

该 协议 是 由 接收 方 B= 二 {Bi ,…，,B。} 联 合 执行 的 。 具 体 过 程 如 下 。 

(1) 每 个 B, 把 签 密 划 分 为 C==c || r || *, 检 查 各 分 量 是 否 都 在 正确 的 定义 域内 , 若 不 是 ， 
拒绝 接收 。 

(2) 每 个 B; 计 算 w=yhg ‘mod p. 

(3) 每 个 B, 计算 并 广播 (ws p D ,这 里 pf 二 (pf 有 ,pf:), 是 通过 以 下 计算 给 出 的 : > 
z—w'5 mod pil€E rZ,,u=g' vw, 

bf; — H'Cg wsysiszsusv) sp fi = Ut pfoxp;)mod q(H’ ft—% Hash 函数 )。 

(4) 每 个 Bi 通过 以 下 方式 验证 B; HA Cnm pf: 

u = gp yal/? mod p, v= w (ws) mod p, c = H'(gswsysi Ww uv) 
如 果 c = pf; WU TE B6 , BUPER B; 的 一 个 投诉 。 

(5) 如 果 对 B, 至 少 存在 1 个 合法 投诉 ,B, 被 标记 为 不 合格 , 设 合格 用 户 集 QUAL, 

(6) K= [[ uw" mod p, 这 里 ji 是 对 应 拉 格 朗 日 系数 。 


i€ QUAL 


CD 每 个 BTE: £—GOGOO m— D. CO s WMR H On || bind || K) =r jk AA m Fw 
拒绝 。 


8.10 指定 验证 方 的 签名 协议 


指定 验证 方 的 签名 协议 是 这 样 一 种 协议 ,签名 方 A 可 以 向 指定 的 验证 方 B 证 明 签名 的 
合法 性 ,但 是 任何 第 三 方 则 无 法 从 签名 判断 消息 的 起 源 ( 如 A 的 身份 等 )。 在 这 种 协议 中 ， 
只 有 指定 的 验证 方 B 可 以 验证 签名 的 合法 性 ,因此 签名 方 的 身份 隐私 得 以 有 效 保 护 。 在 电 
子 投标 这 类 应 用 中 ,指定 验证 方 的 签名 协议 具有 非常 现实 的 应 用 需求 。 

1996 年 Laih 等 人 提出 了 一 类 指定 验证 方 的 签名 协议 (Specified Verifiers Signature, fiij 
称 为 SV 签名 协议 ?5 。 但 文献 [22] 中 指出 了 文献 [21] 给 出 的 协议 存在 严重 安全 缺陷 : 
SVS( 指 定 的 验证 服务 器 集合 ) 中 的 Clerk 可 以 自己 验证 几乎 所 有 的 签名 。 


8.10.1 Laih 的 SV 签名 协议 


Laih 的 SV 签名 协议 ”由 以 下 3 个 算法 组 成 : 密 钥 生成 算法 ,多 签名 算法 和 验证 算法 。 
1. 密 钥 生成 算法 (KeyGen) 


设 G,={U4,…,U,) 为 签名 方 群体 , 群 私 钥 . 公 钥 对 为 (3s, Y, = T] emod p); 


G, (Ua ,…,U) 为 验证 方 群体 , 群 私 钥 、 公 钥 对 为 (3)w,Y, = T [ a mod p) ;每 个 群 里 
有 一 Clerk; 单 个 用 户 的 公私 钥 对 应 以 上 分 量 , 即 U; (i 一 1,2,…,n) 的 私 钥 、 公 钥 对 为 (s; ,8g 5); 
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Ua G—1,2, 0B. 9] AAR Cog ) 。 上 述 安全 参数 都 由 可 信 中 心 产生 。 
2. 多 签名 算法 (Multisign) 
设 待 签 消息 为 m, 签 名 步骤 如 下 。 
OD 每 个 Us 随机 选择 ~: € Z, ,计算 ri 一 Y5 ,并 发 送 给 Clerk, o 
(2) Clerk, 计算 z = [zimod p, 在 G, 中 广播 z。 
(3) 每 个 Us 计算 e— AGB wi 二 Ti 十 esimod q,w; 被 交 给 Clerk, 。 


(4) Clerk, 3E e —h Grm), w= >)rzomod q ,输出 多 签名 (e,w,m)。 
i=l 


3. 验证 算法 (Verification) 
G, 中 成 员 协 同 计算 过 程 如 下 。 
(1) 4 UL, 计算 zi 一 (8"Y:) mod 轧 , 传 送 给 Clerk, 。 


(2) Clerk, 计算 x — [[ zimod LINE RM 
i=l 


(3) 每 个 U, BIE e —h Gr m) J& & MIL. 
文献 [22] 中 指出 ,以 上 协议 存在 以 下 安全 缺陷 : Clerk, 只 要 在 某 个 时 间 参 与 过 一 次 验 
证 协议 , 则 以 后 他 可 以 单独 验证 所 有 签名 。 理 由 是 由 验证 算法 Verification 易于 计算 出 : 


gi = (Ye), r= Yrg ài 


因此 ,只 要 Clerk, 计算 过 一 次 x, WAG SI [S RE (Hen 
任 一 签名 (e,w,m) 是 否 合法 。 

不 难看 出 ,不仅 Clerk, ,每 个 验证 方 都 可 以 在 一 次 验证 成 功 后 具有 验证 以 后 所 有 签名 的 
能 力 (无 须 Clerk 或 其 他 验证 方 的 配合 ) ,具体 方法 同上 。 


8.10.2 指定 验证 方 的 签名 协议 


本 小 节 介 绍 利用 文献 [23] 中 的 签名 协议 EDL 的 基本 思想 设计 的 一 个 指定 验证 方 的 签 
名 协议 SV-EDLC9 。 

SV-EDL 涉及 两 个 独立 的 安全 Hash 函数 : 

H: (0,1) =G = (ggg?) H':G:—>Z, 

设 验证 服务 器 SVS 的 群 公 、 私 钥 分 别 为 — ge mod p 和 xz,,g 的 阶 g1(p 一 1)。 

SV-EDL 签名 协议 描述 如 下 。 设 待 签名 消息 为 m。 

1. 密 钥 生成 算法 KeyGen 

签名 方 的 私 钥 为 € kZ。, 公 钥 为 > 一 grmod p. 

2. 签名 算法 Sign 

CD 随机 选择 rEr{0,1)" ,利用 Hash 函数 H iHi h=H (m,r). 

(2) 计算 > 一 大 (注意 离散 对 数 DL, (y) =DL,(z) =z). 

(3) 随机 选择 KERZ。, 计 算 u=g*.v=h*. 

(4) 随机 选择 LE eZ, ,计算 wg w =y, C— g^). 


t = (£Y), 从 而 以 后 可 以 验证 
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(5) 利用 Hash 函数 Hit c— H' Cg hs ysz usos: sw). 
(6) 计算 s— Ck - cx) mod g, 输 出 m 的 签名 so= 二 (z,r,s ,tw,c)。 


3. 验证 算法 Versvs 
SVSitEÉ h= H (m,r), u = g'y*,v—hz',w 二 ws, 最 后 验证 等 式 c= 
百 '(g,j,y,zyuyoywyw') 一 c 是 否 成 立 以 确定 签名 的 真 伪 。 


8.11 环 签名 协议 


Rivest Shamir 和 Tauman 于 2001 年 提出 了 * 环 签名 ”的 概念 5 ,其 基本 思想 是 : 允许 
某 特定 群体 的 任何 一 方 代表 整个 群体 签名 ,但 却 无 法 具体 追踪 特定 的 签名 方 。 在 此 基础 上 
Kudlat”” 进一步 得 出 了 以 下 结论 : 指定 验证 方 的 签名 协议 与 一 类 特殊 的 2 方 环 签名 协议 是 
等 价 的 ,并 给 出 了 系统 的 分 析 设 计 方 法 。 值 得 注意 的 是 , 环 签名 与 群 签名 有 很 多 类 似 之 处 ， 
但 还 是 有 本 质 的 不 同 , 如 没有 管理 员 。 

文献 [27] 中 提出 了 一 个 很 有 代表 性 的 环 签名 协议 ,目前 很 多 环 签名 协议 都 吸取 了 其 基 
本 设计 思想 。 将 这 个 环 签名 记 为 RSS, 可 由 以 下 一 组 算法 定义 。 

(D BRA (Setup): 给 定 某 安全 参数 LK p.a 是 2 个 大 素数 ,满足 g| (p 一 1); 设 
GEEZ; Wa 阶乘 法 群 ,g EGC 的 生成 元 ; 设 态 是 一 个 从 {0,1)" BEI Z, 的 安全 Hash MH, 
公开 参数 params— Cp.q.g H5. 

(2) 密 钥 生成 (KeyGen) : 该 算法 以 params 为 输入 ,输出 用 户 私 钥 € rZ) , 公 钥 X= 
g'mod p. 

(3) HE CRingSign) : 输入 消息 m AHIR R— (Xi Xo ，…,X,) 及 签名 私 钥 zse( 对 
应 公 钥 Xe 是 环 尺 的 第 sig 个 公 钥 ) ,随机 选择 hisk EZ) i= 1,2, ni Asig 8E 

z=g* TI Xt: mod p 


imlitsig 


h = HOXi em X,+ms2z) 
ha, = (h— » h;)mod q 
s = (k — rh) mod q 

输出 环 签名 o= Geh shasha) 

(4) 环 答 名 验证 (RingVerify) : 以 收 到 的 消息 m AAIR R— CX, Xon X0 HE 
名 o— Ghi shes ,hh,) 为 输入 ,计算 

h = HG s, X, msg'Xh +X mod p) 
hi th, te +h, = h 是 否 成 立 ? 
如 果 等 式 成 立 , 输 出 接受 ;否则 拒绝 。 

不 难看 出 ,上 述 环 签名 RSS 本 质 上 是 从 Schnorr 签名 号 演变 而 来 ,而 文献 [29] 中 已 经 
证 明 Schnorr 签名 在 离散 对 数 问题 难 解 的 意义 下 是 不 可 伪造 的 ( 抗 适应 性 选择 消息 攻击 )， 
因 上 述 环 签名 的 不 可 伪造 性 事实 上 可 以 归 约 为 离散 对 数 问 题 “”, 即 如 果 Schnorr 签名 是 
不 可 伪造 的 , 则 上 述 环 签名 RSS 也 是 不 可 伪造 的 。 
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8.12 并 发 签名 协议 


环 答 名 允许 群体 中 任何 成 员 代表 群体 签名 ,但 任何 人 都 无 法 追踪 群体 中 的 具体 签名 方 ， 
注意 不 存在 任何 管理 员 。 文 献 [26] 中 在 研究 2 方 公平 签名 交换 协议 时 ,以 2 方 环 答 名 (签名 
群体 只 有 2 方 ) 为 基础 ,通过 一 方 在 产生 签名 分 量 时 植 人 陷 门 ( 称 为 Keystone) 的 方法 ,提出 
了 所 谓 的 “并 发 签名 ”(Concurrent Signature) 。 如 果 满 足 正确 性 、 不 可 传递 性 、 不 可 伪造 性 
和 公平 性 , 则 称 一 个 并 发 签名 协议 是 安全 的 。 所 谓 不 可 传递 性 ,是 指 签名 的 合法 性 是 由 用 户 
1 和 用 户 2 共同 来 验证 ,任何 一 方 不 具有 向 第 三 方 证 明 签名 合法 性 的 能 力 ( 不 揭示 Keystone 
值 的 情况 下 )。 而 正确 性 不 可 伪造 性 和 普通 签名 的 定义 是 类 似 的 。 公 平 性 表示 : ORF 
产生 Keystone 的 一 方 可 以 揭 未 ; @ 一 旦 揭示 Keystone, 所 有 满足 不 可 传递 性 的 签名 就 和 
用 户 身 份 绑 定 。 

并 发 签名 协议 是 一 个 由 以 下 算法 组 成 的 数字 签名 协议 。 

(1) 参数 建立 (Setup) : 输入 安全 参数 1、 输 出 公开 参数 (包括 公 钥 空间 PK、 私 钥 空 间 
SK ,消息 空间 M、 签 名 空间 S, Keystone 空间 K、Keystone 迹 空间 下 及 函数 KCommit: 
K 一 下 的 描述 ) 的 概率 算法 。 

(2) 密 钥 生 成 (KeyGen) : 以 公开 参数 为 输入 、 输 出 公私 钥 对 (XE PK, € SK) 的 概率 
算法 。 

(3) NT 签名 (NTSign): — ^P BEAR. VL Xi X; xis hje m (X; X; € PK, 
zr, € SK,m€ M,h; EF) 为 输入 ,输出 对 m WEY o — s hh; GES h EF). HTHE, 
称 c 为 NT 签名 (满足 不 可 传递 性 的 签名 ) 。 

(4) NT 签名 验证 (NTVerify) : Wis ——o. X; ,Xi 二 为 输入 ,输出 接收 或 拒绝 。 

(5) 并 发 签名 验证 (CSVerify) : W<k. kpos.s > WH A Gk k 是 Keystone, kpos€ 
代 ,2)) 的 算法 。 如 果 kpos 一 1, 检 验 是 否 满 足 KCommit(k)=h,;, WRR Æ, E E ; n 
果 kpos 一 2, 检 验 是 否 满足 KCommit Ck) 一 访 ,如 果 不 是 ,拒绝 并 终止 。 然 后 运行 
NTVerify(5) ,输出 结果 (拒绝 或 接受 ) 。 

下 面 给 出 一 个 实际 示例 2 。 

CD 参数 建立 (Setup) : 设 安全 参数 为 1, p.q 是 满足 g|(z 一 1) 的 大 素数 ;G 一 二 8 二 是 
Zi 的 g 阶 子 群 ; Hi. He: (0,1) —Z, 是 2 个 Hash 函数 ;KCommit 定义 为 Hi ;公开 参数 
—pq.g.Hi.H;,. 

(2) 密 钥 生 成 (KeyGen) : HP! 1 和 用 户 2 的 公 、 私 钥 分 别 为 一 zi X; — g* mod p>G= 
1,2). 

(3) NT 签名 (NTSign): PRHE, EmA Xi Xin homo. BÉ PLE 
1€ Z, ,计算 

h = H:(X; || Xz || m || 'X2 
h, = (h — h:)mod q 
s = t— xıhımod q 
输出 签名 om sias 
(4) NT 签名 验证 (NTVerify): 算法 以 二 o, X Xo , 思 二 为 输入 ,检验 以 下 等 式 是 否 
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成 立 : 
(ht h;) mod q = H;CX, || X; || m || gX?' X7 mod p) 

(5) 并 发 签名 验证 (CSVerify) : 设 输 入 Keystone k, I H, Ck) —h; 是 否 成 立 , 如 果 
成 立 再 执行 验证 算法 NTVerify。 

为 方便 起 见 , 以 下 将 该 并 发 签名 协议 记 为 CSig。 

下 面 简要 介绍 一 下 并 发 签名 协议 的 安全 模型 。 

正确 性 定义 是 显然 的 ,这 里 不 予 详 述 。 

称 并 发 签名 协议 满足 不 可 传递 性 ,如 果 满 足 : 存在 PPT 算法 FakeNTSign, 对 于 任意 输 
AX, Xu mz CHP 2 的 私 钥 可 以 已 知 ) ,输出 NT 签名 c 可 以 被 NTVerify 接受 ,并 
且 和 用 户 1 产生 的 实际 签名 是 计算 不 可 区 分 的 。 

可 以 通过 敌手 E 和 挑战 者 C 之 间 的 一 个 Game 来 形式 化 定义 不 可 伪造 性 。 

Game 8.1 

COD 初始 化 : C 运行 参数 建立 和 密 钥 生 成 算法 为 用 户 分 配 参数 和 公 、 私 钥 。 

(2) 敌手 已 可 以 向 C 做 以 下 询问 : 

O KCommit 询问 : E 可 以 要 求 C 随机 选择 Keystone k, iE EA JF mR i fH 
f KCommit( k) ;如 果 愿 意 自己 选择 Keystone, 则 可 以 自己 计算 出 f KCommitCok) 。 

@ KReval 询问 : E 可 以 要 求 C 提供 以 前 的 Kcommit 询问 的 输出 所 对 应 的 Keystone, 

@ NTSign 询 问 : E mf VA if] alb EF CX; X; h; m) A NT Æ o— Gh; hj) = 
NTSign( X, , X; ,h; m), 

@® FakeNTSign 询问 : E 可 以 要 求 获得 对 应 (X;, X;. m) AY NT 签名 ,C 用 
0 — Ghi. h;) —FakeNTSign(X;. X; x; n0 (EWES. 

© Corrupt 询问 : E 可 以 要 求 获得 某 用 户 的 私 钥 。 

(3) Game 输出 : 最 后 下 输出 对 应 于 公 钥 XX. .Xa ,对 某 消息 m 的 签名 a= 二 (5s,h f) A 
果 以 下 条 件 满足 ,就 称 E 赢得 Game: NTVerify(o,X.,Xs,m) 为 真 ;以 前 没有 任何 形 如 
(X, Xa» f! sm) (对 任意 的 EF) 的 NTSign 询问 ;没有 形 如 (X. ,Xa,m) 的 FakeNTSign if] 
问 ;没有 针对 X. 的 Corrupt 询问 ;下 面 两 种 情形 之 一 成 立 : 

(D 没有 针对 Xa 的 Corrupt 询问 。 

Q s f 以 前 是 某 KCommit 询问 的 输出 ,或 者 下 也 输出 一 个 满足 
f =KCommit(k) jJ Keystone k. 

称 并 发 签名 是 不 可 伪造 的 ,如 果 任 何 PPT 敌手 赢得 Games. 1 的 概率 都 是 可 忽略 的 。 

仍然 可 以 通过 Game 方法 来 定义 公平 性 。 

Game 8.2 

CD 初始 化 : 同 Game 8. 1。 

(2) Oracle 询问 : 同 Game 8. 1. 

(3) 输出 : 最 后 敌手 E fth — Keystone k fil(o=(s,h.,f).X..Xa.m) ,签名 能 够 通 
过 CSVerify 算法 验证 ,如 果 以 下 情形 之 一 成 立 , 就 称 敌 手 赢得 Game, 

(D 了 是 以 前 某 KCommit 询问 的 输出 ,并 且 没 有 以 f 为 输入 的 KReval 询问 。 

Q 下 还 输出 一 个 (ac 一 Cs hf), Xo X; m ,能 够 通过 NTVerify 验证 ,但 不 能 通过 
CSVerify 验证 。 


A 
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如 果 任 何 PPT 敌手 赢得 Games. 2 的 概率 都 是 可 忽略 的 , 称 并 发 签名 满足 公平 性 。 

需要 指出 的 是 ,文献 [26] 中 有 关公 平 性 的 定义 是 存在 问题 的 ,因为 从 Game 8.2 来 
看 ,情形 (2) 其 实 不 可 能 发 生 : 在 (o 二 (s,h.,f),X.,Xa,m) 能 够 通过 CSVerify 验证 的 条 件 
下 ,区 再 输出 一 个 能 够 通过 NTVerify 验证 但 不 能 通过 CSVerify 验证 的 签名 (ce = 
Gh, P) Xo Xam ) 是 不 可 能 的 ,因为 二 者 共享 f 一 KCommit(k)。 和 情形 (2) 的 出 发 点 
是 试图 确保 一 旦 Keystone 揭示, 收 ` 发 双方 各 自 的 签名 都 与 其 身份 绑 定 ,因此 只 需 保 证 ， 
对 任意 固定 的 f,E 在 至 多 只 能 掌握 一 方 私 钥 (Corrupt 询问 ) 的 条 件 下 无 法 同时 伪造 2 个 
JÉ ll (o= Gh. f) X; X4 m (Co 一 (je D Xa Xo ) 的 合法 签名 。 容 易 看 出 ,在 伪 
造 Game8. 2 中 已 经 包含 了 这 种 情况 ,因此 ,认为 公平 性 Game 8. 2 的 情形 (2) 并 不 必要 。 
当然 上 述 Game 还 应 该 确保 E 不 能 同时 询问 两 个 用 户 的 私 钥 , 显 然 文献 [26] 中 的 公平 性 
Game 忽视 了 这 一 点 。 

文献 [26] 中 已 证 明 以 下 定理 。 

定理 8.5 CSig 是 安全 的 并 发 签名 协议 , 即 满 足 正确 性 、 非 传递 性 、 不 可 伪造 性 和 公 
平 性 。 


8.13 强 指定 验证 方 的 签名 协议 


“ 强 指定 验证 方 签名 ”(Strong Designated Verifier Signature, SDVS) 是 Jakobsson 等 人 
于 1996 年 提出 的 一 种 签名 [5 ,与 指定 验证 方 签名 (DVS) 相 比 ,SDVS 提供 了 更 强 的 安全 保 
证 ,除了 具备 DVS 的 所 有 性 质 之 外 ,由 于 验证 签名 时 必须 要 使 用 指定 验证 方 的 私 钥 ( 验 证 
DVS 签名 并 不 需要 验证 方 的 私 钥 ) ,因此 ,SDVS 签名 能 够 确保 只 有 指定 的 验证 方 可 以 验证 
签名 ,这 种 性 质 称 为 强壮 性 (Strongness) 。Saeednia 等 人 5 于 2003 年 给 出 了 一 个 基于 签 密 
思想 的 SDVS 协议 , 较 深入 地 讨论 了 相关 安全 概念 ,但 安全 模型 和 安全 性 证 明 并 不 严格 ; 
Susilo 等 人 "9 于 2004 年 设计 了 第 一 个 基于 身份 的 SDVS 协议 。 另 外 ,Ji-Seon FAC F 
2006 年 指出 可 以 利用 消息 恢复 签名 的 设计 思想 构造 高 效 的 SDVS。 


8.13.1 2 个 SDVS 协议 及 其 安全 性 分 析 


1. Saeednia 等 人 的 SDVS Mix P" 

Jb p,q 是 2 个 大 素数 ,gq|(p 一 1);g ERER Z WAM A: (0,1) >Z, 是 安全 的 
Hash 函数 ;m 是 任意 被 签 消息 ;用 户 U 的 私 钥 为 zu€ Z; ,对 应 的 公 钥 为 yu 二 gmod p, 密 
钥 对 记 为 (zu yv). 

设 用 户 A 要 产生 SDVS 签名 并 发 送 给 用 户 B。 

签名 的 产生 : A 随机 选择 2 个 数 ,kE ZEZ ,计算 

c= y; mod p 

r = H(m,c) 

s= (kt —rx,)mod q 
输出 对 消息 m 的 签名 (7,s,1)。 

签名 的 验证 : B 收 到 以 上 签名 后 ,只 需 检 验 等 式 HC, (gy) mod p) =r 是 否 成 立 
即 可 。 
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注意 在 验证 签名 时 用 到 了 接收 方 B 的 私 钥 ,因此 除了 B 之 外 任何 一 方 应 该 无 法 验证 签 
名 。 另外 ,即使 B 泄露 其 私 钥 z,,B 也 仍然 无 法 使 任何 第 三 方 相信 签名 的 合法 性 ,因为 B 自 
己 可 以 生成 与 A 的 真实 签名 计算 不 可 区 分 的 “模仿 签名 ”: 
了 3 可 以 随机 选择 EZ or € Z; ,计算 
c= &' y mod p 
r = H(m,c) 
l= r'r'! modq 
s = sl mod q 
t 一 zamodd 
输出 模仿 签名 (7,s,) 。 
易于 验证 模仿 签名 和 真实 签名 是 计算 不 可 区 分 的 。 
文献 [25] 中 首次 较 详细 地 给 出 了 有 关 安 全 概念 ,给 出 了 部 分 安全 性 证 明 思路 ,但 并 未 给 
出 严格 规范 的 完整 证 明 ,特别 是 没有 证 明 协 议 满足 强壮 性 (Strongness) 。 


2. Ji-Seon 等 人 的 SDVS Hri" 
文献 [33] 利 用 消息 恢复 签名 的 设计 思想 ,给 出 了 一 种 效率 较 高 的 SDVS 协议 。 
参数 和 密 钥 对 选取 与 Saeednia 等 人 的 SDVS 协议 类 似 。 
签名 的 产生 : A 随机 选择 2 DR, ko EZ ki EZI ,计算 
c = g"! mod p 
r = myk? mod p 
s = kī' (rza — kz) mod g 
输出 对 消息 m 的 签名 (c,r,s)。 
签名 的 验证 : B 收 到 以 上 签名 后 ,只 需 检验 等 式 mc yA)" mod p= r 是 否 成 立 
即 可 。 
显然 ,在 验证 签名 时 同样 用 到 了 接收 方 B 的 私 钥 。 另 外 ,B 自己 可 以 生成 与 A 的 真实 
签名 计算 不 可 区 分 的 “模仿 签名 ”: 
B 可 以 随机 选择 i E 2,,t1€E2i ,计算 
c= yj mod b 
r = mc^9: mod p 
s = (tir — tj)mod q 
输出 模仿 签名 (c,r's)。 
遗憾 的 是 ,上 述 SDVS 协议 存在 如 下 缺陷 : 任何 第 三 方 都 可 以 伪造 合法 SDVS 签名 。 
根据 验证 方程 易于 推导 得 到 
m = rc'yx^* mod p 
因此 ,只 要 观察 到 一 个 合法 签名 (a ori s ,就 可 得 到 m — nct yx 8 mod p, 从 而 通过 
开 方 运算 易于 得 到 yw。 此 后 ,任意 第 三 方 通 过 随机 选取 (c,r,s), 定 义 
m-—rc Cy?) "mod ,就 得 到 了 m 的 一 个 以 B 为 指定 验证 方 的 合法 签名 。 
尽管 文献 [33] 中 的 协议 存在 安全 缺陷 ,但 所 给 出 的 利用 具有 消息 恢复 特性 的 数字 签名 
构造 高 效 SDVS 协议 的 想法 本 身 还 是 很 有 意义 的 ,因为 使 用 具有 消息 恢复 性 质 的 签名 可 以 
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提高 实现 速率 、 显 著 减 少 签名 长 度 。 下 面 将 基于 单 向 认证 密 钥 交换 协议 和 具有 消息 恢复 特 
性 的 数字 签名 给 出 上 述 SDVS 协议 的 一 个 改进 。 


8.13.2 SDVS 协议 的 安全 模型 


借鉴 文献 [26] 对 一 般 指定 验证 方 签 名 (DVS) 的 定义 方式 给 出 了 SDVS 协议 的 严格 形 
式 化 定义 。 强 指定 验证 方 签 名 (SDVS) 协 议定 义 为 以 下 一 组 算法 。 

(1) 参数 建立 (Setup(1)): 以 安全 参数 1 为 输入 的 概率 多 项 式 时 间 (PPT) 算 法 ,返回 系 
统 参数 params, 该 参数 包括 以 下 空间 的 描述 : 公 钥 空间 PK、 私 钥 空 间 SK 消息 空间 M 及 签 
名 空间 S。 

(2) 密 钥 生 成 (KeyGen(params) ) : 以 系统 参数 params 为 输入 、 输 出 公 钥 XEPK 及 对 
应 私 钥 zxESK 的 PPT HH. 

(3) SDV 签名 (SDVSign(Xs,Xy,zs,m)): 以 签名 方 的 公 钥 Xs EPK 及 对 应 私 钥 £s € 
SK 指定 验证 方 的 公 钥 Xv 天 Xs、 消 息 m€ M 为 输入 ,以 签名 o€ S 为 输出 的 PPT 算法 。 

(4) SDV 验证 (CSDVVerify(CXv,zv,Xs,myo)): 以 指定 验证 方 的 公 钥 Xy € PK 及 对 应 
私 钥 zy ESK .签名 公 钥 Xs、 消息 mE MAI cE S 为 输入 ,以 接受 (1) 或 拒绝 (0) 为 输出 的 
PPT 算法 。 

与 文献 [25] 不 同 的 是 ,给 出 的 SDVS 定义 采用 了 形式 化 方法 ,而 且 没 有 把 “可 模仿 性 ” 
( 即 描述 指定 验证 方 如 何 模仿 生成 SDVS 的 算法 ) 作 为 定义 的 一 部 分 ,而 是 将 借鉴 环 签名 的 
做 法 ,通过 把 非 传 递 性 (Non-Transferability) 作 为 SDVS 安全 性 要 求 的 一 部 分 。 

下 面 将 给 出 SDVS 的 严格 安全 性 定义 。 

如 果 满 足 : 输入 (Xs ,XXy ,Zs ,m) ,运行 SDVSign 算法 输出 签名 ao, 则 以 (Xy ,Xs my m. 
中) 为 输入 的 SDV Verify 算法 输出 接受 , 称 SDVS 是 正确 的 。 

如 果 存 在 一 个 以 (Xy,Xs ,zyv，,m) 为 输入 的 PPT 算法 FakeSDVSign, 输 出 签名 ao 被 
SDVVerify 接受 且 o 的 分 布 与 SDVSign 产生 的 “真实 ”签名 a 是 计算 不 可 区 分 的 (即使 私 钥 
Zzs、zv 均 已 泄露 ) , 称 SDVS 是 非 传 递 的 。 

可 以 利用 一 个 在 挑战 方 C 和 敌手 E 之 间 运 行 的 Game 来 形式 化 定义 不 可 伪造 性 。 

Game 8.3 

CD 初始 化 : C 运行 Setup 和 KeyGen 算法 ,产生 系统 参数 和 用 户 公 、 私 钥 对 (X; ,zx;)， 
这 里 i 二 1,2,… ,n,n 表示 用 户 数 上 界 。EE 只 得 到 公开 参数 和 所 有 用 户 的 公 钥 。 

(2) E RIVA] C 提出 以 下 询问 : 

(D SDVSign 询问 : 已 可 以 要 求 得 到 对 应 (Xs,Xv,m) 的 SDVS 签名 ,C 运行 SDVSign 
输出 对 应 签名 o 作为 回答 。 

Q) FakeSDVSign 询问 : EE 可 以 要 求 得 到 对 应 (Xs ,Xv,m) 的 一 个 伪造 SDVS 签名 ,C 运 
行 以 (Xvy ,Xs,zv,m) 为 输入 的 FakeSDVSign 算法 ,输出 签名 o 作为 回答 。 

G Corrupt 询问 : E 可 以 要 求 得 到 用 户 i KAH i. 

@ SDV Verify 询问 : 这 是 下 拥有 的 验证 Oracle, 对 于 询问 CXs, Xy ,m,c) ,输出 接受 或 
拒绝 。 

(3) 输出 : 最 后 下 输出 签名 (Xs Xo om^ ,o* )。 如 果 该 签名 被 SDV Verify 接受 ,上 且 从 
未 使 用 (X; ,XY ,m” ) 向 Oracle SDVSign 或 FakeSDVSign 提出 过 询问 , 上 且 从 未 针对 
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(Xi ,XY ) 提 出 过 Corrupt 询问 St fk E I8 Game. 

如 果 任 何 PPT 敌手 E MIG Games. 3 的 概率 是 可 忽略 的 (安全 参数 的 可 忽略 函数 ) , 称 
SDVS 是 不 可 伪造 的 。 

如 果 满 足 : 除了 指定 验证 方 外 ,对 于 任何 不 知道 验证 方 私 钥 的 PPT SCF E 而 言 ,由 任 
何 第 三 方 产生 的 “签名 ”a 与 真实 签名 是 计算 不 可 区 分 的 , 称 SDVS 是 强壮 的 。 

实际 上 ,上 述 定义 的 SDVS 的 强壮 性 是 指 ,区 分 真实 签名 的 唯一 途径 是 已 知 指定 验证 
方 的 私 钥 , 因 此 即使 是 签名 方 本 人 也 不 能 区 分 真 伪 签名 。 

如 果 它 满足 正确 性 、 非 传递 性 ,不 可 伪造 性 和 强壮 性 , 称 一 个 SDVS 协议 是 安全 的 。 


8.13.3 基于 环 签名 构造 的 SDVS 协议 


文献 L[26] 中 指出 ,任何 一 个 DVS 协议 和 2 方 环 签名 协议 是 等 价 的 。 但 由 于 环 签名 协议 
的 “公开 可 验证 性 ”, 因 此 并 不 能 以 平凡 方式 给 出 SDVS 协议 的 构造 方式 。 本 节 介 绍 一 个 基 
于 8,11 节 的 环 签名 构造 的 可 证 明 安全 的 SDVS 协议 。 

基于 RSS 构造 SOVS 协议 的 基本 思想 是 : 把 判定 性 Diffie-HellmanCDDH) [8] i Bc A” 
到 RSS 的 2 方 情形 。 记 基于 RSS 构造 的 SDVS 协议 为 RSS-SDVS 协议。 

RSS-SDVS 协议 可 由 以 下 一 组 算法 定义 。 

(D Setup: 5j RSS 类 似 , 即 给 定 某 安全 参数 1, 设 pa 是 2 个 大 素数 ,满足 q1(p 一 1) ; 设 
GEEZ; 的 g 阶乘 法 群 ,g 是 G 的 生成 元 ; 设 昌 \.H' 是 2 个 从 {0,1)" 映 到 Z, 的 安全 Hash K 
数 ,公开 参数 params 二 (p,q,g, 电 ,H')。 注 意 这 里 需要 引入 2 个 独立 的 Hash 函数 。 

(2) KeyGen: 该 算法 以 params 为 输入 ,输出 用 户 私 钥 zE &Z; 和 公 钥 X==g*mod p. 

(3) SDVSign: 输入 消息 mr、 签 名 方 A 和 指定 验证 方 B 的 公 钥 (XA,Xs) 以 及 签名 方 私 
$H za ,A 随机 选择 hs,kErZi ,计算 

z = Xhg'mod p 
=H Ga X4, X3, g^ X3) 
h = H(XA, Xs,c,z) 
hi = (h — h;) mod q 
s = Ck — x,hi) mod q 
di AER o Ghi she). 
(4) SDV Verify. 以 指定 验证 方 B 收 到 的 消息 mw、 公 钥 (Xs ,Xe) 以 及 验证 方 私 钥 ze 、 签 
名 a= Ghi sj ) 为 输入 ,计算 
g* = g'X^ mod p 
c' = H'in,ya yos g"9) 
h = H(asysasc sz) 
h +h: = h ERRE? 
如 果 等 式 成 立 ,输出 接受 ;否则 拒绝 。 

显然 ,上 述 SDVS 协议 本 质 上 是 从 2 方 环 签名 即 2 方 -RSS 演变 而 来 ,RSS-SDVS 协 
议 的 不 可 伪造 性 可 以 归 约 为 RSS 签名 的 不 可 伪造 性 。 

下 面 来 给 出 RSS-SDVS 协议 的 安全 性 证 明 。 
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RSS-SDVS 协议 的 正确 性 证 明 是 显然 的 。 
SEH 8.6 RSS-SDVS 协议 是 非 传递 的 。 
证 明 设 o 二 (s,h ,hs) 是 签名 方 S 以 (Xs Xv xs m) jfi Ae £1 SDVSign 算法 生成 
的 对 任意 消息 m 的 一 个 “真实 "SDVS 签名 ,这 里 (Xs ,zs),(Xv,zv) 分 别 是 签名 方 S 和 指定 
验证 方 V 的 公 、 私 钥 对 。 下 面 将 定义 一 个 算法 FakeSDVSign, 它 是 以 (Xv,Xs,zv,zz) 为 输 
和 人 的 PPT 算法 ,输出 签名 oa =l ,hi hi: 随机 选择 hi k EZ, ,计算 
z= X“ g*mod p 
c = H'(im,Xs, Xy g^, X0) 
h = H(Xs,Xv,c,z) 
h,= (h— h )mod q 
s = (k — xyh,) mod q 
显然 签名 可 以 被 SDV Verify 算法 接受 。 下 面 证 明 o — Gs hi h2) Ml am Cs, h shr) EER 
可 区 分 的 。 假 设 瑟瑟 "都 是 随机 预言 "9 ,易于 看 出 ,o 和 o 的 每 一 个 签名 分 量 都 在 Z, E38] 
匀 分 布 , 但 3 个 签名 分 量 并 不 独立 : UL o — GI uhi ,hi) 为 例 , 它 们 满足 以 下 等 式 
hit hy = H(Xs, Xy cg! X X) 
e = H'iniXsXvg^ XL 
真实 签名 o— Gh ,hs) 有 完全 相同 的 等 式 关系 成 立 
hi 十 hs = H(Xs, Xv,c,g Xu Xh) 
c= H (Xss Xv X) 
注意 到 两 个 等 式 的 对 应 输入 的 分 布 完 全 相同 , 均 为 均匀 分 布 ,因此 一 Cs nD) Al o = 
Ghi ,hs ) 的 分 布 完全 相同 ,当然 也 是 计算 不 可 区 分 的 。 
要 证 明 SDVS 协议 的 不 可 伪造 性 ,需要 用 到 Gap (BO), Gap 问题 就 是 这 样 一 个 问 
题 ,在 判定 性 Oracle( 如 DDH Oracle) 的 帮助 下 ,解决 某 计 算 问题 (如 CDH 问题 )。 目 前 Gap 
问题 已 经 在 可 证 明 安 全 研究 领域 获得 了 很 多 成 功 应 用 59 ,也 逐渐 被 学 术 界 所 接纳 。 这 里 先 
回顾 一 下 有 关 的 几 个 问题 。 
(D DLP: 已 知 g^€ G(a€ gZ,) ,求解 离散 对 数值 a。 
(2) CDH 问题 : 已 知 8 g^ € Ga b € &Z,) RF g^ — g^" mod p. 
(3) DDH 问题 : 已 知 g^ «g^ g^ €Gla,bEgZ,) ,判别 c 一 ap 是 否 成 立 。 
(4) GDH 问题 : 已 知 g.g’ € GCa« b € Z,) ,同时 已 知 一 个 可 以 解决 DDH 问题 的 
Oracle, 求 解 g*— g^ mod p. 
如 果 在 群 G 上 GDH 问题 是 难 解 的 , 则 称 G 是 一 个 GDH fif. 
如 果 求 解 以 上 问题 的 任何 PPT 算 法 的 成 功 概率 是 可 忽略 的 ,就 称 求解 以 上 问题 是 困难 
的 。 以 上 假设 中 显然 DLP 是 最 弱 的 ,因此 任何 签名 如 果 在 DLP 假设 成 立 的 条 件 下 不 可 伪 
造 , 则 在 其 他 3 个 假设 中 任何 一 个 成 立 的 意义 下 必然 也 是 不 可 伪造 的 。 
定理 8.7 如 果 在 GDH 群 上 Schnorr 签名 是 不 可 伪造 的 , 即 能 抵抗 适应 性 选择 消息 
伪造 攻击 , 则 RSS-SDVS 协议 也 是 不 可 伪造 的 。 
WEBB 根据 已 有 结论 “如 果 Schnorr 签名 是 不 可 伪造 的 , 则 环 签名 RSS 也 是 不 可 伪造 
Ay"? ,事实 上 只 需 证 明 : 如 果 2 方 环 签名 即 环 签名 2-RSS 是 不 可 伪造 的 , 则 SDVS 协议 
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也 是 不 可 伪造 的 。 采 用 反 证 法 。 假 设 A.W PRLS ,假设 存在 敌手 已 在 至 多 提出 
gn 次 随机 预言 询问 和 至 多 gs 次 SDVSign 和 FakeSDVSign 询问 后 ,以 不 可 忽略 概率 7 赢 
得 不 可 伪造 性 Game。 现 在 就 来 证 明 存在 以 下 为 子 程序 的 算法 Sim, 以 不 可 忽略 概率 伪造 
一 个 合法 的 2-RSS 签名 。 

BE Sim 试图 伪造 的 2-RSS 4&4 B7: GF CX =g mod p, X — g^ mod p), 它 有 一 个 
RSS 签名 Oracle C,C 可 以 回答 Sim 对 任何 消息 m 的 2-RSS 签名 o= (shi shz) o 

Sim 开始 和 玉 运 行 Game。 首 先进 行 初始 化 , 即 取 公开 参数 (p,q,g), 设 定 用 户 总 数 为 
安全 参数 的 多 项 式 函 数 n CD ;接着 运行 KeyGen, 为 每 一 个 用 户 生成 公私 钥 (X;,z;) ,但 对 
于 一 对 随机 选择 的 用 户 A、B 例外 : A 的 公 钥 选 为 XA 一 X,B 的 公 钥 选 为 Xs 一 X'。Sim 向 
提供 所 有 用 户 的 公 钥 。 现 在 Sim i E Bir PEU ATT . BO Xt E 可 能 提出 的 Oracle 询问 
进行 模仿 回答 。 

随机 预言 豆 或 五 "询问 : 注意 Sim 维持 着 两 个 随机 预言 回答 列表 Ln FIL ,开始 为 空 。 
对 有 H' 询 问 给 予 随机 回答 ,注意 如 果 (Xs Xv) = (Xa Xp) (或 顺序 相反 ) , 且 随 机 预言 询问 形 
如 (Gm, 义 s ,Xvy,g”,g“)，,Sim 需要 询问 DDH Oracle g* 是 否 为 (Xy,g") 的 Diffie-Hellman fü. 
如 果 不 是 ,随机 回答 ,如 果 是 ,查看 Liv ,如 果 存 在 标记 为 ((m,Xs,Xv,s Xi ,?),c) 的 值 , 以 
c 作为 回答 ,否则 随机 回答 。 对 五 询问 则 转交 给 C 来 回答 。 注 意 : 只 是 在 回答 五" 询问 时 用 
到 了 GDH 假设 。 

SDVSign 询问 : EE 可 以 询问 对 应 任意 (Xs ,Xv,m) 的 SDVS 签名 ,如 果 XsAX,=X A 
Xv 天 Xp 一 X' (或 Xv X4 =X A Xs Xo — X0 ,因为 2 个 对 应 私 钥 均 已 知 ,Sim 不 需要 模 
仿 , 直 接 运行 2 方 情形 的 RingSign 算法 即 可 给 出 回答 ;否则 如 果 Xs=X H Xv 天 Xe 一 X ， 
首先 随机 选择 s,h sho € Z, ATE Kg Xh .c=H' (m, Xs Xv K Kv 2 $E X h=h +h = 
HO, Xy c, K X: ) ijt o 二 (s,hi,hs) 作 为 回答 ;如 果 Xs 一 X' 且 XXy 关 XA 二 XX, 回答 方式 
类 似 ;如 果 Xs 一 XA A Xy — Xs (或 顺序 相反 ) ,首先 随机 选择 cE 2,, 向 C 询 问 c 的 2-RSS 签 
名 , 设 得 到 的 回答 是 o— Gh she), EX c= H' (m, Xs, Xv, g'X* ，?), 并 把 Om. Xs | Xv. 
BX! DHX c HAR Leh WME E MZ Oracle H' 询 问 过 Gm,Xs Xy g X D. 
宣布 失败 ,否则 把 对 应 输出 c 一 (sj h ) 作 为 回答 。 由 于 eX 是 均匀 分 布 的 ,因此 模仿 失 
败 的 概率 显然 可 以 忽略 。 

FakeSDVSign 询问 : E 可 以 询问 对 应 任意 (Xs ,Xv ,m) 的 伪造 SDVS 签名 ,回答 方法 与 
SDVSign 基本 是 一 样 的 。 

Corrupt 询问 : 刁 可 以 询问 对 应 任何 公 钥 X: 的 私 钥 z;。 如 果 X,=X,=X 或 X, 一 Xe 一 
X! Sim 放弃 模仿 ;否则 Sim 输出 私 钥 zx; 作为 回答 。 

Output; 在 Game 中 止 时 ,EE 输出 签名 (X; Xy ,m” ,ao”)。 如 果 该 签名 被 SDVVerify 
接受 且 以 下 条 件 满足 : X; =X =X, X 二 Xs — X (或 顺序 恰好 相反 ); 从 未 使 用 (Xs ,XY m 
向 Oracle SDVSign 或 FakeSDVSign 提出 过 询问 ;从 未 针对 (Xs , Xo ) 提 出 过 Corrupt if] 
fal. wR E RS Game, 

AH A,B 是 随机 选择 的 ,因此 事件 “Xs =X =X, Xo 一 Xs 一 X (或 顺序 恰好 相反 )” 发 
生 的 概率 至 少 为 2/ 好 ,显然 XX。、Xs 没有 被 提出 过 Corrupt 询问 ,这 时 Sim 必然 没有 放弃 , 设 
o —G' ht ,hi ), 因 为 H 是 随机 预言 ,除了 可 忽略 情形 ,E 必然 向 Oracle H' 询问 过 


ts 


Gn' „Xs Xysg" XH Cg. X8 )w), 设 给 出 的 回答 为 c* = H'(m’ Xe Xysg" X8, 
(Qr X8 7) ,那么 Sim ith e" — G^ «hz shi ) 作 为 对 消息 c 的 2- RSS 环 签名 ,显然 至 多 
除了 可 忽略 概率 Sim 没有 向 C 询问 过 c* ,因此 Sim 至 少 以 不 可 忽略 概率 成 功 伪造 了 一 个 
2-RSS 签名 。 这 与 环 答 名 RSS 的 不 可 伪造 性 矛盾 。 

最 后 考虑 SDVS 的 强壮 性 (Strongness)。 显 然 ,要 验证 SDVS 签名 的 合法 性 ,必须 使 用 
验证 方 的 私 钥 来 计算 Diffie-Hellman 值 (否则 由 于 CDH 假设 ,在 随机 预言 模型 中 敌手 正 
确 猜 测 HAE c 的 概率 必然 是 可 忽略 的 ) ,才能 达到 验证 签名 合法 性 的 目的 。 因 此 ,在 未 知 指 
定 验 证 方 私 钥 的 条 件 下 ,可 以 看 出 如 果 DDH 假设 满足 , 则 真实 签名 和 相同 结构 的 随机 数组 
是 计算 不 可 区 分 的 。 


8.13.4 基于 可 否认 的 单 向 认证 密 钥 交 换 协 议 构造 的 SDVS 协议 


我 们 将 以 单 向 认证 密 钥 交 换 协 议 (One-Pass Authentication Key Exchange protocol, fij 
记 为 OP-AKE 协议 ) 作 为 基本 工具 ,给 出 另外 一 种 SDVS 协议 的 一 般 构造 方法 。 因 为 很 多 
AKE 协议 都 有 仅 需 1 次 数据 流动 的 变形 协议 ,因此 应 用 意义 具有 一 般 性 。 

首先 讨论 可 否认 的 OP-AKE 协议 的 安全 模型 。 


1. 可 否认 的 OP-AKE 协议 及 其 安全 模型 

OP-AKE 协议 最 早 是 由 Nyberg 和 Rueppel?* 于 1993 年 提出 的 ,随后 又 于 1994 年 
对 协议 作 了 进一步 的 推广 和 改进 。OP-AKE 协议 的 基本 内 含 是 : 任何 两 个 通信 方 A、B, 发 
送 方 A 只 需 向 接收 方 B 传递 一 次 消息 (1 次 交互 ),A、B 得 以 建立 共享 会 话 密 钥 ( 准 确 地 说 ， 
就 是 只 要 双方 都 是 诚实 的 ,那么 只 有 A、B 才 可 能 获得 唯一 的 共享 会 话 密 钥 sk) 。 也 就 是 
说 ,B 知道 消息 源 于 A 而 且 意 定 的 接收 方 就 是 自己 。 因 此 OP-AKE 协议 的 安全 性 要 求 和 一 
般 AKE 协议 是 类 似 的 。 当 然 不 能 期 望 OP-AKE 协 议 的 安全 强度 和 一 般 AKE 协议 完全 等 
价 , 如 在 OP-AKE 协议 中 ,接收 方 B 收 到 的 消息 可 能 是 敌手 的 重 放 ,在 一 次 数据 流动 情形 ， 
这 种 重 放 几乎 是 不 可 避免 的 ,但 在 实际 应 用 中 可 以 采取 多 种 措施 来 弥补 这 一 点 ,如 采用 时 间 
堆 机 制 或 建立 递增 序列 号 机 制 等 。 另 外 ,OP-AKE 协议 也 不 能 达到 完善 前 向 安全 性 ,因为 
已 知 B 的 私 钥 足 以 推出 共享 会 话 密 钥 。 但 无 论 如 何 , 由 于 只 需要 一 次 数据 交互 ,OP-AKE 
协议 仍 具有 重要 的 应 用 意义 。 

可 否认 的 AKE 协议 的 设计 思想 最 早 是 在 由 文献 [38] 中 提出 的 。 基 本 想法 是 : 设计 密 
钥 交换 协议 时 , 既 要 考虑 满足 一 般 意义 下 的 AKE 协议 的 安全 性 ,同时 还 要 满足 可 否认 性 ， 
即 消息 的 发 送 方 或 所 有 者 在 必要 时 可 以 否认 曾经 发 送 过 该 消息 (任何 一 方 不 具有 向 第 三 方 
证 实 曾 经 发 生 过 会 话 的 能 力 )。 在 很 多 需要 保护 用 户 隐私 的 情况 下 ,可 否认 的 AKE 协议 具 
有 重要 的 应 用 价值 。 注 意 一 般 AKE 协议 未 必 自 然 满足 可 否认 性 ,因为 为 了 抵抗 诸如 密 钥 
替换 之 类 的 攻击 ,往往 需要 在 协议 会 话 中 加 入 用 户 身 份 信 息 ,而 且 广 泛 使 用 数字 签名 、 消 息 
认证 码 等 工具 ,这 会 使 得 协议 会 话 记 录 与 用 户 身份 绑 定 。 

下 面 将 以 mBIM 模型 为 基础 建立 可 否认 的 OP-AKE 协议 的 安全 模型 。 有 关 mBJM 模 
型 的 详细 知识 可 参见 文献 [26] ,实际 上 是 AKE 协议 在 PKI 环境 中 的 BR 安全 模型 的 推 
广 应 用 。 

首先 考虑 OP-AKE 协议 作为 一 般 AKE 协议 的 安全 性 。 在 mBJM 模型 中 ,每 个 用 户 
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U 具有 对 应 的 公私 钥 (PKu ,SKu) ,通常 使 用 Oracle II 形式 化 表示 用 户 U 的 第 i 个 通信 实 


例 , 这 些 Oracle 对 各 类 输入 的 消息 (询问 ) 依 据 协议 规则 给 出 相应 的 输出 (回答 )。 任 何 TI 
只 可 能 处 于 3 种 状态 之 一 : 未 决 (Undecided) 状 态 、 接 受 状态 和 拒绝 状态 。 一 旦 处 于 接受 状 
态 ， i 应 该 具有 : 角色 role € { 发 起 方 ,应 答 方 }; 对 应 伙伴 (Partner) 的 ID, 记 为 pidy( 即 意 
定 的 通信 方 ); 会 话 ID sidr 以 及 会 话 密 钥 ski. 

敌手 玉 被 形式 化 为 一 个 PPT 算法 ,E 完全 控制 信道 ,并 通过 提出 Oracle 询问 的 方法 与 
Oracles 交互 。 


协议 的 安全 性 形式 化 为 以 下 的 在 挑战 者 C MRF E 之 间 的 一 个 “Game”。 
Game 8.4 


(OD C 作为 模仿 方 运 行 参数 建立 和 密 钥 生成 算法 为 用 户 分 配 参 数 和 公私 
FACE 不 知道 私 钥 )。 

(2) EE 可 以 提出 多 项 式 数量 级 的 Oracle 询问 ,由 C 给 出 回答 。E 可 以 提出 以 下 询问 : 

(D Send a M) E HRJ Oracle I 发 送 消息 M,C 根据 协议 给 出 模拟 回答 , 注 
意 在 OP-AKE 协议 中 Send 询问 只 能 针对 发 起 方 。 

Q) Reveal (ID: EE 要求 获得 I 持 有 的 会 话 密 钥 sky. 

@ Corrupt(U) : E 要求 获得 U 的 私 钥 。 


如 果 巨 曾经 提出 Reveal 询问 , 称 下 已 经 揭示 了 Oracle [[ + 如 果 巨 曾经 提出 Corrupt 


询问 , 称 巨 已 经 收买 了 相应 的 用 户 ;如 果 TT. 的 伙伴 没有 被 揭示 且 pidi 没有 被 收买 , 称 该 
U 
Oracle 是 新 鲜 的 (Fresh) , 


Q) Test dD: 在 某 一 时 刻 ,EE 可 以 对 某 新 鲜 Oracle I 提出 Test 询问 ,C 随机 选择 
比特 5。 如 果 by 1,C 输出 ski* ,否则 输出 随机 数 。 此 后 EE 可 以 继续 提出 前 面 的 Oracle 询 
问 , 但 禁止 揭示 TI 及 其 伙伴 Oracle, 也 不 能 收买 pidi. 。 


U 

(3) 敌手 上 输出 对 比特 5 的 猜测 值 (0 或 1) 。 

WR EXTER O 的 猜测 正确 ,就 称 敌 手 赢得 了 mBJM Game, 

如 果 协 议 满 足 强 相伴 性 , 且 任 何 PPT 敌手 赢得 mBJM Game 的 概率 优势 是 可 忽略 的 ， 
就 称 OP-AKE 协议 满足 mBIM-AKE 安全 性 。 这 里 AKE 协议 的 强 相伴 性 是 指 : 对 于 任何 
两 个 非 意 定 的 通信 方 而 言 , 任 何 PPT 敌手 不 可 能 以 不 可 忽略 概率 使 得 二 者 均 处 于 接受 状态 
并 持 有 相同 的 会 话 密 钥 。 有 关 mBJM 模型 的 细节 可 参见 文献 [26]。 

下 面 考虑 可 否认 性 。 

与 文献 [38] 中 的 方式 类 似 ,采用 模仿 观点 给 出 OP-AKE 协议 的 可 否认 性 定义 。 基 本 想 
法 是 : 协议 应 答 方 对 协议 的 观察 (View) 可 以 被 任何 不 知道 发 起 方 私 钥 的 模仿 器 Simulator 
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模仿 ,而 且 除 了 可 以 模仿 发 送 方 的 发 送 消息 记录 ,还 可 以 输出 模仿 会 话 密 钥 K。 模 仿 会 话 
密 钥 K 是 与 普通 的 可 否认 认证 协议 的 主要 区 别 ,这 样 做 是 考虑 到 K 很 可 能 作为 其 他 协议 
的 输入 ,可 否认 认证 协议 仅 需 简单 输出 1b, 即 接受 或 拒绝 。 由 于 OP-AKE 协议 属于 单 向 交 
互 协议 ,协议 应 答 方 并 不 发 送 任何 消息 ,因此 只 需 考虑 发 起 方 具 有 和 否认 能 力 , 即 应 答 方 无 法 
向 第 三 方 证 明 : 意 定 发 起 方 曾经 成 功 地 向 他 发 送 了 协议 交互 信息 并 达成 某 会 话 密 钥 KK。 

称 OP-AKE 协 议 是 可 否认 的 ,如 果 对 于 任意 如 上 政 手书 ,存在 某 模仿 器 SIMs ,其 输入 
与 已 完全 一 样 ,输出 的 模仿 观察 (Simulated View) MAF 已 从 协议 执行 得 到 的 真实 观察 是 
计算 不 可 区 分 的 。 

设 两 方 OP-AKE 协议 的 合法 通信 双方 是 A.B, 各 自 的 公 、 私 钥 对 为 CXA ,zs),(Xs,zs), 规 
定 A 是 发 起 方 ,B 是 应 答 方 ,协议 输出 会 话 密 钥 K 或 “error”( 如 果 B 的 验证 失败 )。 可 否认 
的 OP-AKE 协议 主要 考虑 应 答 方 B 不 诚实 的 情况 ,安全 目标 是 阻止 B 向 第 三 方 证 明 他 与 
A 达成 了 共享 会 话 密 钥 。 上 述 定义 说 明 ,不 但 A 的 发 送 消息 是 可 以 否认 的 ,而 且 相 关 的 会 
话 密 钥 K 也 是 可 否认 的 。 考 虑 敌手 已 ,输入 为 某 意 定数 目的 公 钥 集合 PK= (pki ,…,pk',)， 
此 外 还 有 某 些 辅助 输入 。 巨 可 以 启动 任意 数目 的 用 户 间 会 话 , 这 些 会 话 是 并 发 的 ,而 且 可 以 
由 编排 次 序 ,但 不 考虑 重 放 的 情形 。 巨 的 观察 包括 随机 输入 、 发 起 方 发 送 的 消息 记录 、 
正 参 与 的 所 有 协议 会 话 最 终 计算 输出 的 会 话 密 钥 K 。 

注意 : 在 该 模型 中 ,EE 的 输入 还 可 以 包括 接收 方 的 私 钥 , 这 表示 即使 不 诚实 的 用 户 揭示 
自己 的 私 钥 也 无 法 向 第 三 方 证 明 协 议会 话 曾经 发 生 过 。 

2. 基于 可 否认 的 OP-AKE 协议 构造 SDVS 协议 

这 里 给 出 基于 可 否认 的 OP-AKE 协议 构造 SDVS 协议 的 一 般 方法 。 

定理 8.8 安全 的 SDVS 协议 可 以 基于 安全 的 可 否认 的 OP-AKE 协议 构造 。 

证 明 不 失 一 般 性 ,以 2 方 情形 为 例 给 出 证 明 ,多 方 情形 的 证 明 是 类 似 的 。 首 先 指出 如 
何 由 OP-AKE 协议 构造 SDVS, 然 后 讨论 OP-AKE 协议 的 安全 性 可 以 确保 这 样 构造 的 
SDVS 协议 也 是 安全 的 。 

假设 签名 方 为 S, 指 定 验证 方 为 ,对 应 公 、 私 钥 分 别 为 (Xs n (Xv ms 

SDVS 协议 的 Setup, KeyGen 算法 与 OP-AKE 协议 相同 。 

SDVSign(X; , Xy xs n0: S 作为 发 起 方 和 应 答 方 V 执行 OP-AKE 协议 , 设 S 发 送 的 
消息 为 Ts,S 计算 出 会 话 密 钥 K, 设 日 是 某 安全 Hash 函数 , 输出 
o==(Ts,C 二 HH(S,V,m,K)) 作 为 对 消息 m 的 SDVS 签名 。 

SDVVerify(Xs, Xv, zv, m, o): V 根据 协议 规定 ,计算 出 会 话 密 钥 K, 以 及 
C'=H(S,V ,m,K), K% C —C 是 否 成 立 。 

易于 看 出 ,如果 OP-AKE 协议 满足 正确 性 ,SDVS 协议 必然 也 满足 正确 性 。 

其 次 ,如 果 OP-AKE 协议 是 可 否认 的 , 则 存在 模仿 算法 SIM, 除 公开 输入 外 ,还 包括 
V 的 私 钥 作 为 输入 ,在 未 知 发 送 方 私 钥 zs 的 条 件 下 输出 模仿 观察 ,包括 T、K, 因 此 易于 计 
算得 到 C== 昌 (S,V,m,K), 显 然 这 样 计算 出 的 签名 会 被 SDVVerify 接受 。 因 此 非 传 递 性 
满足 。 

下 面 考虑 不 可 伪造 性 。 不 可 伪造 性 Game 和 OP-AKE 的 安全 性 Game 是 基本 类 似 的 ， 
回答 Oracle 询问 的 方法 如 下 : 

SDVSign 询问 : 当 询问 m 的 签名 时 ,对 应 了 OP-AKE 安全 性 Game 中 的 Send 询问 和 
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Kreveal 询问 ,因此 可 以 自然 给 出 SDV 签名 作为 回答 ,注意 该 询问 是 针对 S 的 。 

FakeSDVSign 询问 : 和 SDVSign 询问 的 回答 方式 类 似 , 但 Kreveal 询问 是 针对 应 答 方 
V 的 。 
对 随机 预言 H 的 回答 方式 是 随机 的 。 总 之 在 SDVS 不 可 伪造 性 Game 中 的 全 部 
Oracle 询问 均 可 由 OP-AKE 协议 安全 性 Game 中 的 对 应 Oracle 做 出 回答 。 最 后 ,假设 敌手 
未 经 询问 Oracle SDVSign 和 FakeSDVSign, 输 出 某 新 消息 m^ 的 签名 ao” ,因为 是 随机 预言 ， 
敌手 必定 向 及 询问 过 (S,V,m” K), TRUR OP-AKE 是 安全 的 ,那么 敌手 成 功 伪造 上 
述 签 名 的 概率 必然 也 是 可 忽略 的 。 

最 后 考虑 强壮 性 (Strongness)。 可 以 考虑 这 样 的 两 阶段 Strongness Game, Setup, 
KeyGen 同上 ,在 第 一 阶段 ,敌手 通过 询问 Oracle SDVSign 和 FakeSDVSign 等 (回答 方式 同 
上 ) ,敌手 选择 某 消 息 m 作为 测试 消息 ,需要 挑战 方 以 1/2 概率 给 出 真实 签名 o 或 伪造 签名 
o ,敌手 输出 判断 1 或 0。 如 果 敌 手 的 正确 判断 概率 是 不 可 忽略 的 ,就 称 敌手 成 功 , 从 而 不 满 
足 强壮 性 ,反之 称 满足 强壮 性 。 显 然 , 这 与 OP-AKE 协议 的 安全 性 Game 的 Test 询问 是 对 
应 的 , 即 以 概率 1/2 输出 真实 会 话 密 钥 或 随机 数 ,然后 计算 CHS, V,m, KO, RHIA 
论断 已 知 , 如 果真 实 kK 与 随机 数 R 是 不 可 区 分 的 ,那么 真实 签名 o 或 伪造 签名 “必然 也 是 
不 可 区 分 的 。 

可 以 看 出 ,基于 可 否认 OP-AKE 协议 构造 SDVS 协议 的 方法 是 一 般 的 ,突出 优点 之 一 
是 ,强壮 性 易于 得 到 证 明 。 


3. 2 个 基于 OP-AKE 协议 的 SDVS 协议 实例 
上 面 曾经 指出 ,SDVS 协议 的 构造 可 以 归结 为 可 否认 的 OP-AKE 协议 的 构造 。 目 前 有 
许多 OP-AKE 协议 可 供 选 择 。 首 先 利用 文献 [40] 中 提出 的 HMQYV 密 钥 交换 协议 的 单 向 
变形 ( 记 为 OP-HMQV 协议 ) ,具体 实现 一 个 SDVS 协议 ;其 次 ,基于 Nyberg 和 Rueppel 等 
人 的 消息 恢复 签名 机 制 97 及 对 应 OP-AKE 修改 协议 ,给 出 基于 该 协议 的 另 一 个 SDVS 
实例 。 
基于 OP-HMQV 协议 中 的 SDVS 协议 : 
(D Setup: 给 定 某 安 全 参数 1, 设 p、g 是 两 个 大 素数 ,满足 g1(p 一 1); 设 G 是 2Z; 的 
q 阶乘 法 群 ,g 是 G 的 生成 元 ; 设 H.H H: Æ 3 4 (0.1) RE Z, 的 安全 Hash 函数 , 公 
开 参 数 params— Cp,q.g H, Hi. H2). 
(2) keyGen: 该 算法 以 params 为 输入 ,输出 用 户 私 钥 zxE eZ; A) X — g' mod p. 
(3) SDVSign: 输入 消息 m. EAN S 和 指定 验证 方 V 的 公 钥 (Xs,Xv ) 以 及 签名 方 私 
钥 £s, S 随机 选择 TERZ, ,计算 
X = gmodp, 
d= HiX Xa X). 
os = Xp"s. K = H,(os), 
C= H(Xs,Xy,m,K) 
输出 SDVS 签名 o 一 (X,C) 。 
(4) SDV Verify: 输入 消息 m 及 签名 o 二 (XX,C)、 签 名 方 S 和 指定 验证 方 V 的 公 钥 
(Xs,Xv) 及 验证 方 私 钥 zv,V 首先 检验 是 否 XA0, MRE d=H (X, Xs,Xv), 开 一 
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HH,:((XXs)™w), 并 检验 验证 方程 C— HOXS» Xy m KO J& JR VE. 

根据 文献 [37] 及 定理 8.8. EI SDVS 协议 的 正确 性 \ 不 可 伪造 性 和 强壮 性 不 难 证 明 ， 
因此 下 面 只 需 给 出 非 传递 性 证 明 。 

定理 8.9 基于 OP-HMQV 协议 的 SDVS 协议 是 非 传递 的 。 

证 明 设 o=(s;h ,hs) 是 签名 方 S 以 (Xs,Xy,z,,m) 为 输入 运行 SDVSign 算法 生成 的 
对 任意 消息 m 的 一 个 “真实 ”SDVS 签名 ,这 里 (Xs,zs),(Xv,zv) 分 别 是 签名 方 S 和 指定 验 
GEA V 的 公 、 私 钥 对 。 下 面 定 义 以 (Xv,Xs,zv,zm) 为 输入 的 算法 FakeSDVSign, 输 出 签名 
a — Ghi shi: 随机 选择 x€ Z, ,计算 

X = g*mod p, 

d = Hi(X,Xs, X). 

os = (XX$)V, K = H,(os) 
C= HOXs. Xy m, K) 

显然 ,签名 可 以 被 SDV Verify 算法 接受 。 易 于 证 明 o Mo 的 分 布 完全 相同 , 均 为 均匀 
分 布 , 当 然 也 是 计算 不 可 区 分 的 。 

cNR-SDVS 协议 : 

前 面 已 经 指出 ,基于 消息 恢复 签名 思想 构造 SDVS 的 基本 思想 是 很 有 意义 的 ,下 面 基 
于 Nyberg 和 Rueppel 的 消息 恢复 签名 思想 ,结合 对 其 OP-AKE 协议 变形 作 适 当 修 改 , 设 计 
一 个 SDVS 协议 ,无 妨 记 为 cNR-SDVS 协议 ,仍然 通过 以 下 几 个 算法 来 定义 。 

(1) Setup 与 keyGen: 设 p,q 是 两 个 大 素数 ,满足 gq|(p 一 1); 设 G 是 2Z; 的 g 阶乘 法 
群 ,g 是 G 的 生成 元 ; 设 HH 是 两 个 从 {0,1)" 映 到 Z, 的 安全 Hash 函数 ,公开 参数 params 一 
G»sqg H. HO, HP] x€ RZi , 公 钥 X=g*mod p. 

(2) SDVSign: it SDVS ZZA HH S FERIEN 9 V GEAR IH ION mS 执行 以 下 过 程 。 

(D MIFE K , kE Z,. 

@ 计算 r— XT g^ mod p.216 r' —rmod q. 

Q 计算 s— (k— rr) mod q. 

图 计算 sk— HCOXs. Xy , r. g^) mod p. 

© 计算 c— H'(OXS Xy ,mysk) 。 

并 输出 SDVS 签名 (c,r,s) 。 

(3) SDV Verify: 指定 验证 方 V 执行 : 

(D 恢复 Xfmod p: X =g'X5rmod p. 

© 计算 外 一 (X8) sk HOGS Xv rg mod p), 

@ 验证 签名 方程 c= H'OXs ,Xv,m, sk) 是 否 成 立 。 

易于 看 出 , cNR-SDVS 协议 和 文献 [33] 中 的 签名 长 度 相 同 ,计算 复杂 性 相当 ,除了 
cNR-SDVS 协议 引入 了 两 个 独立 的 Hash 函数 (Hash 函数 的 处 理 速 度 通 常 是 很 快 的 ), 特 
别 是 二 者 的 不 可 伪造 性 质 均 依据 文献 [37] 中 提出 的 具有 消息 恢复 性 质 签名 协议 即 
Nyberg-Rueppel 签名 协议 ,基于 消息 恢复 签名 设计 SDVS 的 突出 优点 之 一 就 是 可 以 缩短 
签名 长 度 。 但 前 面 已 经 分 析 指 出 ,文献 [33] 中 的 SOVS 不 能 抵抗 伪造 攻击 。 原 因 在 于 ， 
给 出 Nyberg-Rueppel 签名 的 存在 性 伪造 是 容易 的 。cNR-SDVS 协议 没有 对 任意 消息 
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m 直接 签名 ,而 是 通过 对 特定 格式 消息 X 签名 ,然后 基于 CDH 问题 的 变形 问题 ( 即 已 知 
2" ,g' € GLa.b€ RZ,) RAF g^mod p, BRA CDH 问题 等 价 ) ,并 通过 随机 预言 五 的 随 
机 化 处 理 , 得 到 对 应 OP-AKE 协议 的 会 话 密 钥 sk, 然 后 作 HMAC MU. SAE. We 
类 签名 的 分 析 结 果 表 明 ,目前 对 上 述 特殊 格式 的 消息 XE 而 言 ,很 难 给 出 已 知 指数 开 的 
Nyberg-Rueppel 签名 存在 性 伪造 。 因 此 基于 CDH 假设 ,cNR-SDVS 协议 的 抗 伪造 攻击 性 
质 是 有 保证 的 ,此 外 注意 ,对 会 话 密 钥 的 计算 引入 了 Hash 函数 处 理 , 而 且 引 入 了 其 他 随 
机 因素 ,这 主要 是 为 了 确保 SDVS 协议 所 依据 的 OP-AKE 协议 的 协议 会 话 满足 强 相 
PETERS) 。 

根据 以 上 分 析 及 定理 8. 8, 如 果 在 以 上 意义 下 Nyberg-Rueppel 签名 是 不 可 伪造 的 , 那 
么 易于 证 明 SDVS 协议 满足 正确 性 \ 不 可 伪造 性 和 强壮 性 ,由 于 篇 幅 所 限 , 这 里 就 不 再 獒 
述 , 基 本 方法 可 以 参考 文献 [26] 中 的 模块 化 证 明 观 点 。 下 面 考虑 非 传递 性 。 

定理 8.10 cNR-SDVS 协议 满足 非 传 递 性 。 

证 明 设 o 一 (cr's) 是 签名 方 S 以 (Xs Xy ,zx,,m) 为 输入 运行 SDVSign 算法 生成 的 对 
任意 消息 m 的 一 个 “真实 "SDVS 签名 ,这 里 (Xs ,zs),(Xv,zv) 分 别 是 签名 方 S 和 指定 验证 
Ji V 的 公私 钥 对 。 下 面 定义 以 (Xv ,Xs ,zxv,m) 为 输入 的 算法 FakeSDVSign, 输 出 签名 
o — (cr us). 随机 选择 S 执行 以 下 过 程 。 

COD 随机 选择 r,sE2,, 约 化 7 二 rmod q. 

(2) 3X g^ — X2 g' mod p. 

(3) 计算 XE —rg* mod pg 一 (X8 y» 

(4) 计算 sk — HOXs Xy rg" )mod p. 

(5) 计算 c’  H'CXs Xy m sk), 

Ff HH AE o — (e un us. 

显然 ,签名 可 以 被 SDV Verify 算法 接受 ,易于 证 明 o^ Alo 的 分 布 完全 相同 , 均 为 均匀 分 

布 ,当然 也 是 计算 不 可 区 分 的 。 


8.14 小 结 


我 们 将 数字 签名 协议 分 为 两 类 : 一 类 是 普通 数字 签名 协议 ,只 提供 签名 生成 和 签名 验 
证 两 个 基本 功能 ,而 且 这 两 个 功能 可 分 别 由 单个 签名 者 和 单个 验证 者 独立 完成 ,该 类 数字 签 
名 协议 通常 称 为 数字 签名 算法 ,如 第 1 章 中 介绍 的 RSA 数字 签名 算法 .DSA; 另 一 类 是 特殊 
数字 签名 协议 ,该 类 数字 签名 协议 除了 提供 签名 生成 和 签名 验证 两 个 基本 功能 外 ,还 具有 其 
他 特定 的 辅助 功能 或 需要 联合 签名 或 验证 ,如 本 章 介绍 的 不 可 否认 的 数字 签名 协议 、Fail- 
Stop 数字 签名 协议 、 群 数字 签名 协议 和 盲 签名 协议 等 。 

目前 已 提出 了 大 量 各 种 各 样 的 数字 签名 协议 ,本 章 也 介绍 了 一 些 典 型 的 和 最 新 的 数字 
签名 协议 “] 。 关 于 数字 签名 协议 的 综述 论文 可 参阅 文献 [42] 一 [44] ,当然 这 些 文献 相对 比 
较 早 ,还 不 能 覆盖 最 新 研究 成 果 。 另 外 ,由 于 篇 幅 的 限制 ,只 介绍 了 作者 在 这 一 领域 的 部 分 
研究 成 果 , 感 兴趣 的 读者 还 可 参阅 文献 [45] 一 [50] 。 
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第 9 章 AMTRAK 


简单 地 讲 , 身 份 识别 协议 的 目标 就 是 使 某 人 的 身份 被 确认 。 假 定 你 想 向 其 他 人 证 明 你 
的 身份 ,可 以 通过 证 明 “ 你 是 什么 ”"“ 你 有 什么 ”和 “你 知道 什么 ”这 3 种 方式 中 的 一 种 或 几 种 
来 完成 。“ 你 是 什么 ”是 指 你 的 行为 或 物理 属性 ;“ 你 有 什么 ”是 指 文件 或 信用 证 明 ;“ 你 知道 
什么 ”是 指 口 令 或 个 人 信息 等 。 

一 个 安全 的 身份 识别 协议 至 少 应 满足 以 下 两 个 条 件 。 

(1) 证 明 者 A 能 向 验证 者 B 证 明 他 的 确 是 A。 

(2) 在 证 明 者 A 向 验证 者 B 证 明 他 的 身份 之 后 ,验证 者 B 不 能 获得 关于 A 的 任何 有 用 
的 信息 使 得 他 能 模仿 A 向 第 三 方 证 明 他 是 A。 

这 两 个 条 件 是 说 证 明 者 A 能 向 验证 者 B 电子 地 证 明 他 的 身份 ,而 又 没有 向 B 泄露 他 的 
识别 信息 。 目 前 已 设计 出 许多 满足 这 两 个 条 件 的 身份 识别 协议 。 

身份 识别 协议 与 数字 签名 算法 有 着 密 不 可 分 的 联系 。 一 方面 ,可 以 基于 数字 签名 算法 
或 MAC 算法 来 构建 安全 的 身份 识别 协议 ; 另 一 方面 ,也 可 以 直接 针对 身份 识别 协议 的 安全 
要 求 设计 身份 识别 协议 ,并 可 通过 一 定 的 方式 转化 为 数字 签名 算法 。 本 章 将 从 这 两 个 方面 
介绍 一 些 比较 流行 的 、 有 代表 性 的 身份 识别 协议 。 


9.1 基于 MAC 算法 的 身份 识别 协议 


9.1.1 挑战 -响应 协议 


首先 看 一 个 很 简单 但 不 安全 的 身份 识别 协议 , 它 可 基于 任何 MAC 算法 (如 1.4.2 小 节 
讨论 的 MAC 算法 ) 构 建 ,也 被 称 为 挑战 -响应 协议 , 详 见 协 议 9. 1。 这 里 假定 A 向 B 来 识别 
自己 ,他 们 的 共同 密 钥 为 玉 , 用 消息 认证 码 MAC, 来 计算 认证 标签 。 

协议 9.1 不 安全 的 挑战 -响应 协议 。 

(1) B 随机 选择 挑战 ~, 并 发 送 给 A。 

(2) A 计算 y 一 MACxk(7) ,并 发 送 给 B. 

(3) BHH y MAC GO ,如 果 y 一 >, 则 B“ 接 受 ”; 否 则 ,B“ 拒 绝 ”。 

这 里 首先 解释 一 下 交互 协议 中 经 常用 到 的 会 话 和 流 这 两 个 术语 。 一 般 而 言 ,一 个 交互 
协议 包括 彼此 通信 的 两 方 或 多 方 。 每 一 方 交替 地 发 送 和 接收 消息 。 每 运行 一 次 协议 称 为 一 
个 会 话 。 在 会 话 中 的 每 一 步 称 为 流 , 一 个 流 包 括 消息 从 一 方 传 给 另 一 方 。 协 议 9. 1 包括 两 
个 流 , 第 一 个 消息 流 从 B 传 给 A ,第 二 个 消息 流 从 A 传 给 B。 会 话 结束 时 ,BC 会 话 的 发 起 
者 )“ 接 受 "或 “拒绝 ”( 这 是 B 在 会 话 结束 时 的 内 部 状态 ) ,对 A 来 说 可 能 并 不 知道 B 是 接受 
还 是 拒绝 。 

即便 所 使 用 的 MAC 算法 是 安全 的 ,协议 9. 1 也 不 能 抵抗 一 种 典型 的 攻击 一 一 并 行 会 
话 攻击 ,因此 它 是 不 安全 的 。 在 图 9. 1 中 描述 了 这 种 攻击 ,敌手 O 可 以 成 功 地 冒充 A 。 
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在 第 一 个 会 话 进行 中 (假定 O 正在 向 B 冒充 A),O 发 起 第 二 个 会 话 , 他 主动 让 也 来 识 
别 自己 。 第 二 个 会 话 在 图 9. 1 中 方 框 里 描述 。 在 第 

二 个 会 话 中 ,O 把 在 第 一 个 会 话 中 从 B 传 来 的 挑战 
发 送 给 B。 一 旦 他 收 到 B 的 响应 ,O 继续 第 一 个 会 
话 , 他 把 BB 的 响应 发 送 回 B。 这 样 O 就 成 功 地 完成 y MAC) 

了 第 一 个 会 话 。 

并 行 会 话 攻 击 并 不 是 在 所 有 的 应 用 场景 中 都 构 
成 真正 的 威胁 ,但 设计 身份 识别 协议 时 考虑 其 抵抗 aT ER 
这 种 攻击 是 明智 的 。 在 下 面 的 协议 9. 2 中 提出 了 一。 图 9 1 协议 9.1 的 攻击 过 程 示意 图 
种 简单 的 办 法 来 改正 这 个 缺陷 。 与 协议 9. 1 相 比 ， 

仅 有 的 改变 是 把 身份 标识 符 ID 加 入 到 MAC 中 来 计算 认证 标签 。 

协议 9.2 安全 的 挑战 -响应 协议 。 

CD. B 随机 选择 挑战 +, 并 发 送 给 A 

(2) A 计算 y= 二 MACk(ID(A) || P2 ,并 发 送 给 B. 

(3) B 计 算 y MAC, D(A) | 四, 如果 y =y, BEE” AN, BIE” 

在 协议 9. 2 中 ,假定 随机 挑战 是 一 指定 长 度 的 比特 串 , 即 kb( 如 二 100 就 是 一 种 合适 
的 选择 ) 。 也 假定 身份 标识 (ID(A) 或 ID(B)) 是 一 特定 长 度 的 比特 串 , 以 某 种 标准 固定 的 方 
式 格式 化 。 还 假定 身份 标识 串 中 包含 了 能 区 分 网 络 中 唯一 实体 的 特征 信息 (因此 B 不 必 担 
心 哪 一 个 “<A" 正 在 与 其 谈话 )。 

协议 9. 2 可 以 抵抗 并 行 会 话 攻击 。 这 是 因为 ,如 果 O 同样 发 起 上 述 攻击 ,他 会 收 到 第 
二 个 会 话 中 从 B 传 来 的 MACk(ID(B) || r)。 这 对 于 O 来 说 是 没有 帮助 的 ,由 于 第 一 个 会 
话 中 应 该 是 值 MACk(ID(A) || >) 来 响应 B 的 挑战 。 

虽然 协议 9. 2 能 够 抵抗 并 行 会 话 攻 击 , 但 并 没 给 出 能 抵抗 各 种 可 能 攻击 的 安全 性 证 明 。 
下 面 给 出 一 个 简短 的 安全 性 证 明 。 

首先 给 出 关于 协议 中 的 3 个 前 提 假 设 。 

(D 密 钥 假设 。 假 定 只 有 A 和 B 知道 密 钥 开 。 

C2) 随机 挑战 消息 假设 。 假定 A 和 B 都 有 理想 的 随机 数 生成 器 来 产生 他 们 的 挑战 消 
息 。 因 此 ,在 两 个 不 同 会 话 中 产生 相同 挑战 消息 的 概率 是 相当 小 的 。 

(3) MAC 安全 假设 。 假 定 MAC 算法 是 安全 的 。 更 精确 地 说 ,对 于 相应 的 e MQ, 
MAC 不 存在 (e,Q) 伪造 。 即 当 O 最 多 知道 Q 个 其 他 MAC 值 时 , 即 MACk Gr) ,i 一 1， 
2,…,Q, 对 于 任意 iz 去 z;,O 能 正确 计算 MAC (z) 的 概率 最 多 为 es。 通常 ,Q 是 指定 的 安 
4 BK (Q— 10000 或 100000 也 许 是 合理 的 选择 ,具体 由 实际 应 用 来 决定 ) 。 

O 能 够 观察 到 A MB 之 间 的 多 次 会 话 。O 的 目标 是 欺骗 A 或 B, 即 让 B“ 接 受 "实际 没 
有 A 参与 的 会 话 ,或 让 A“ 接 受 "实际 没有 B 参与 的 会 话 。 要 证 明 当 上 述 3 个 假设 都 成 立 
Ft OMS A 或 B 的 概率 是 相当 小 的 。 通过 分 析 协 议 的 结构 ,很 容易 完成 证 明 。 

假定 B* 接 受 ”, 则 > 一 MACx(ID(CA) | 站), 其 中 y 是 他 在 第 二 个 流 中 收 到 的 消息 ,r 是 B 
在 第 一 个 流 中 发 送 的 挑战 。 我 们 认为 值 y 是 由 A 根据 挑战 x 产生 的 响应 ,这 种 情况 发 生 的 
概率 相当 大 。 为 了 证 明 这 种 说 法 ,让 我 们 考虑 响应 不 是 直接 来 自 A 的 可 能 情形 。 首 先 ,由 
于 假定 密 钥 K 只 有 A MB 知道 ,不 必 考 虑 知道 密 钥 K 的 其 他 人 ,计算 y— MAC ODCA) | 
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7) 的 概率 。 因 此 ,或 者 O 不 知道 密 钥 K 而 计算 出 了 > ,或 者 值 > 由 A RB 在 以 前 的 会 话 中 
产生 ,而 被 O 重用 到 本 次 会 话 中 。 

现在 依次 讨论 这 些 可 能 的 情形 。 

CD 假定 > 一 MACk (ID(A) || r) h B 在 以 前 的 会 话 中 产生 。 然 而 ,B 只 能 计算 
MAC CIDCB) || P2 ,因此 他 不 可 能 产生 y, 这 种 情形 不 成 立 。 

(2) 假定 值 y HA 在 以 前 的 会 话 中 产生 。 这 种 情形 只 有 在 挑战 消息 -~ 被 重用 时 才 成 
立 。 然 而 ,假定 挑战 消息 7 是 由 理想 的 随机 数 生成 器 产生 ,因此 在 不 同 会 话 中 产生 同样 挑战 
消息 的 概率 是 相当 小 的 。 

(3) 假定 值 y 是 由 O 构造 的 新 MAC 值 。 由 于 MAC 算法 是 安全 的 ,O 不 知道 密 钥 开 ， 
因此 他 产生 y 的 概率 是 相当 小 的 。 

为 了 把 上 述 非 形式 化 的 证 明 做 一 更 精确 的 描述 , 先 给 出 MAC 算法 安全 的 定义 和 身份 
识别 协议 安全 的 定义 。 

如 果 敌 手 最 多 查询 了 Q 个 消息 的 MAC 值 后 ,构造 一 个 新 消息 的 MAC 值 的 概率 不 大 
于 e( 即 不 存在 (e,Q) 伪 造 ) ,就 称 MAC 算法 是 无 条 件 (e,Q) 安 全 的 。 通 常 ,假定 用 固定 密 钥 
KPA ALE K) 来 构造 QA MAC 值 。 如 果 敌 手 最 多 得 到 A MB 之 间 的 Q 个 会 话 消息 
后 ,成 功 欺骗 A 或 B 的 概率 不 大 于 e, 称 身份 识别 协议 是 无 条 件 (e,Q) 安 全 的 。 

对 任何 理想 的 Q 和 e ,无 条 件 (e,Q) 安 全 的 MAC 算法 是 确实 存在 的 (如 用 强 通用 Hash 
族 构造 ) 。 然 而 ,无 条 件 安全 的 MAC 算法 一 般 需 要 很 长 的 密 钥 (尤其 当 Q 很 大 时 )。 因 此 ， 
像 CBC-MAC 算法 这 样 的 计算 安全 的 MAC 算法 在 实际 中 更 常用 一 些 。 在 这 种 情形 下 ， 
MAC 算法 的 安全 性 假设 是 必要 的 。 这 种 假设 加 入 时 间作 为 参数 ,其 他 模式 与 无 条 件 安全 
假设 类 似 。 如 果 给 定 敌 手 的 计算 时 间 最 多 是 了 ,敌手 最 多 查询 了 Q 个 消息 的 MAC 值 后 , 构 
造 一 个 新 消息 的 MAC 值 的 概率 不 大 于 ,就 称 MAC 算法 是 (e,Q,T) 安 全 的 。 如 果 给 定 敌 
手 的 计算 时 间 最 多 是 了 ,敌手 最 多 得 到 A AB 之 间 的 Q 个 会 话 信息 后 ,成 功 欺骗 A 或 B 的 
概率 不 大 于 e, 则 称 身份 识别 协议 是 (e,Q,T) 安 全 的 。 

为 简化 定义 ,通常 省 略 时间 参 数 。 这 样 计算 安全 和 无 条 件 安全 的 定义 就 是 类 似 的 。 至 
于 使 用 的 是 计算 安全 还 是 无 条 件 安全 ,通过 上 下 文 的 内 容 就 可 以 分 辨 清楚 了 。 

现在 来 证 明 下 面 的 定理 。 

定理 9.1 假定 MAC 算法 是 (e,Q) 安 全 的 ,假定 随机 挑战 的 长 度 是 kb。 那 么 身份 识 
别 协议 9.2 是 (Q/2* 十 e,Q) 安 全 的 。 

WEBB 首先 假定 基于 无 条 件 (e,Q) 安 全 的 MAC 算法 构建 身份 识别 协议 ,那么 只 要 敌手 
在 会 话 消息 收集 期 间 最 多 得 到 Q 个 有 效 的 MAC 值 ( 使 用 相同 的 MAC 密 钥 ) ,最终 的 身份 
识别 协议 也 是 无 条 件 安全 的 。 还 要 考虑 另外 一 个 参数 ,也 就 是 协议 中 随机 挑战 的 比特 长 
度 。 在 这 些 条 件 下 ,能 容易 地 给 出 敌手 欺骗 B 的 概率 的 上 界 。 同 样 考虑 以 下 3 种 情形 。 

CD TEM ETHIE. y= MAC, (ID(A) || 7) 不 可 能 由 B 在 以 前 的 其 他 会 话 中 产生 。 
因此 这 种 情形 不 可 能 发 生 。 

(2) 假定 值 y 由 A 在 以 前 的 会 话 中 产生 ,挑战 消息 + 是 B 新 产生 的 ,那么 B 在 以 前 的 
会 话 中 使 用 相同 挑战 + 的 概率 是 1/2*。 由 于 最 多 可 以 考虑 Q 个 以 前 的 会 话 ,因此 7 被 重用 
的 概率 是 Q/2*。 如 果 r 被 重用 的 这 种 情形 发 生 , 敌 手 就 可 以 重用 以 前 会 话 中 的 MAC 值 。 
挑战 + 被 重用 的 精确 概率 是 1 一 (1 一 2“)®, 小 于 Q/2*。 
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(3) 假定 值 y 是 由 O 构造 的 新 MAC 值 。 由 于 MAC 算法 是 安全 的 ,O 成 功 欺 骗 的 概率 
最 多 是 e。 

综 上 所 述 ,O 欺骗 B 的 概率 最 多 为 Q/2* 十 e。 因 此 ,建立 了 身份 识别 协议 的 安全 性 。 

如 果 MAC 算法 是 计算 安全 的 ,分 析 过 程 也 基本 上 是 一 致 的 。 


9.1.2 攻击 模型 和 敌手 目标 


为 了 表述 清楚 ,在 图 9. 2 中 描述 了 中 间 和 人 侵 攻击 的 情形 。 

初 看 起 来 , 这 似乎 是 一 个 并 行 会 话 攻击 。 4 o B 
可 以 认为 O 在 一 个 会 话 中 向 B 冒充 A ,在 并 行 - r LE 
会 话 中 向 A 冒充 B。 当 O 收 到 B 的 挑战 + 后 ， y=MAC,(ID(A) lir) 

他 把 发 送 给 A。 然 后 O 把 4 的 响应 y 发 送 给 y 

B,B 将 “接受 ”"。 然 而 ,我 们 认为 这 不 是 一 个 真 

实 的 攻击 ,因为 两 个 “会 话 ” 的 “合成 "是 一 个 简单 的 会 话 ,A 成 功 地 向 B 识别 自己 的 身份 。 

全 部 的 结果 是 B 发 起 挑战 r ,A 计算 正确 的 响应 >。O 只 是 简单 地 转发 消息 ,而 没有 修改 消 

息 , 因 此 ,O 在 协议 中 不 是 一 个 主动 的 参与 者 。 会 话 的 实施 过 程 就 像 O 完全 没有 出 现 一 样 。 
定义 敌手 O 是 主动 的 ,如 果 以 下 条 件 之 一 成 立 : 

(OD O 产 生 了 一 个 新 消息 ,并 放 和 人 信道 中 。 

(2) O 改 变 信道 中 的 消息 。 

(3) O 转 移 信道 中 的 消息 ,发 送 给 其 他 人 ,而 不 是 指定 的 接收 者 。 

敌手 的 目标 是 主动 的 敌手 能 够 让 协议 中 的 发 起 者 (如 B, 假 定 他 是 诚实 的 ) 在 会 话 中 “ 接 
受 ”。 根 据 这 个 定义 ,O 在 前 面 考虑 的 中 间 入 侵 攻击 情形 中 ,不 是 主动 的 敌手 ,因此 敌手 的 目 
标 是 不 能 实现 的 。 

判定 敌手 是 否 为 主动 敌手 的 另外 一 种 等 价 方式 是 考虑 协议 中 A 和 B 的 视图 。A AB 
都 在 与 指定 的 实体 通信 : A 的 指定 实体 是 B, 反 之 亦 然 。 进 一 步 ,如 果 没 有 主动 敌手 ,那么 
A 和 B 会 有 匹配 的 会 话 视 图 : A 发 送 的 每 个 消息 都 是 B 所 接收 的 ;反之 亦 然 。 而 且 , 没 有 
乱 序 的 消息 被 收 到 。 这 些 会 话 特征 被 称 为 匹配 会 话 (Matching Conversations) 。 

上 述 模型 的 讨论 假定 会 话 中 的 合法 参与 方 都 是 诚实 的 。 准 确 地 说 ,如 果 会 话 中 的 参与 
方 ( 如 A 或 B) 严 格 按照 协议 流程 执行 ,进行 正确 的 计算 ,不 向 敌手 (9) 泄 露 任何 信息 , 则 被 
称 为 是 诚实 的 参与 方 。 如 果 参 与 方 是 不 诚实 的 ,那么 协议 就 完全 被 攻破 了 。 因 此 ,安全 假定 
通常 要 求 参与 方 是 诚实 的 。 

现在 再 来 考虑 攻击 模型 。 在 O 实际 欺骗 也 之 前 ,需要 进行 信息 收集 。 如 果 他 只 是 观察 
人 A 和 B 之 间 的 会 话 ,O 在 此 过 程 中 是 一 个 被 动 敌手 。 也 可 以 考虑 O 在 信息 收集 阶段 是 主动 
敌手 的 攻击 模型 。 例 如 ,O 可 以 临时 地 访问 预言 器 (Oracle) ,来 计算 认证 标签 MACk(，)， 
BAK Jg A 和 B 共享 (O 不 知道 K)。 在 这 一 阶段 ,O 肯定 能 成 功 地 欺骗 A 和 B, 因 为 他 可 
以 利用 预言 器 来 响应 挑战 。 然 而 , 当 信息 收集 阶段 完成 后 ,MAC 预言 器 就 不 能 再 使 用 , 那 
么 O 在 新 的 会 话 中 实施 他 的 攻击 让 A 或 B“ 接 受 ”, 但 不 能 访问 MAC 预言 器 。 

9.1.1 小 节 中 的 安全 性 分 析 都 可 以 应 用 到 这 些 攻 击 模型 中 。 如 果 MAC 算法 在 已 知 消 
息 攻击 下 是 (es,Q) 安 全 的 ,那么 身份 识别 协议 在 被 动 敌手 信息 收集 模型 下 是 可 证 明 安 全 的 
(确切 地 说 ,敌手 的 成 功 概率 最 多 为 Q/2* 十 e) 。 进 一 步 ,如 果 MAC 算法 在 选择 消息 攻击 下 


y 
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是 (e,Q) 安 全 的 ,那么 身份 识别 协议 在 主动 敌手 信息 收集 模型 下 是 安全 的 。 
9.1.3 交互 认证 协议 


A 和 B 都 向 对 方 证 实 各 自 的 身份 ,这 种 协议 称 为 交互 认证 协议 或 交互 身份 识别 协议 。 
会 话 成 功 完成 时 ,参与 双方 都 为 接受” 状态。 敌手 试图 欺骗 A RB 或 双方 ,使 其 接受 。 敌 
手 的 目标 是 进行 主动 攻击 后 ,使 得 诚实 的 参与 方 “接受 ”。 

一 个 安全 的 交互 认证 协议 应 具备 以 下 两 个 条 件 。 

(1) 假定 A 和 B 是 会 话 中 的 两 个 参与 方 , 他 们 都 是 诚实 的 。 也 假定 敌手 是 被 动 的 , 那 
ZARB 都 将 “接受 ”。 

(2) 如 果 敌 手 是 主动 的 , 则 会 话 完成 后 ,诚实 的 参与 方 都 不 会 “接受 ”。 

值得 一 提 的 是 ,在 一 个 特定 的 会 话 中 ,敌手 也 许 开 始 是 被 动 的 , 当 一 方 接受 后 ,就 变 成 主 
动 的。 因此 一 个 诚实 的 参与 方 “接受 ”, 而 另 一 个 诚实 的 参与 方 “拒绝 ”, 这 种 情形 是 可 能 发 生 
的 。 在 这 种 情形 下 ,虽然 会 话 没有 成 功 地 完成 ,敌手 也 没有 达到 他 的 目标 ,因为 敌手 在 第 一 
个 参与 方 接受 之 前 是 被 动 的 。 会 话 的 结果 是 A 成 功 地 向 B 证 实 了 自己 的 身份 ,而 B 没有 成 
功 地 向 A 证实 自己 的 身份 。 这 可 以 看 做 是 协议 的 中 断 ,但 却 不 是 一 个 成 功 的 攻击 。 

在 交互 认证 协议 的 会 话 中 ,主动 敌手 有 以 下 几 种 表现 方式 。 

CL) 敌手 伪造 A ,希望 BH, 

(2) 敌手 伪造 B ,希望 A 接受 。 

(3) 敌手 在 A 和 B 参与 的 会 话 中 是 主动 的 ,希望 A 和 B 都 接受 。 

可 以 通过 运行 两 次 协议 9.2 来 达到 交互 认证 (通过 两 个 独立 的 会 话 ,让 A 验证 B 的 身 
份 ,B 验证 A 的 身份 )。 然 而 ,设计 一 个 简单 的 协议 一 次 完成 交互 认证 ,应 该 是 更 高 效 的 。 

那么 如 何以 简单 的 方式 ,把 单 向 身份 识别 的 两 个 会 话 合并 为 一 个 协议 呢 ? 协议 9.3 给 
出 了 一 个 解决 方案 , 它 把 消息 流 从 4 个 减 为 3 个 (与 运行 单 向 身份 识别 协议 两 次 相 比 ) 。 然 
而 ,最 终 的 交互 身份 识别 协议 是 存在 缺陷 的 ,并 且 易 受 攻击 。 

协议 9.3 不 安全 的 交互 认证 协议 。 

CD B 随机 选择 挑战 ,发 送 给 A. 

(2) A 随机 选择 挑战 7; ,计算 y =MACk (ID(A) || r2 ,发送 r2。 和 yi 给 B。 

(3) Bit yi =MACg (ID(A) || r2 ,如果 yi =y ,B* 接 受 ”; 否 则 ,B“ 拒 绝 ”。B 也 计算 
yz 二 MACxk (ID(B) || r2 ,发 送 y: 给 A. 

(4) A HH y; — MAC& AD(B) || r2) ,如 果 % 二 ys，,A* 接 受 ”; 否 则 ,A* 拒 绝 ”。 

由 于 O 在 并 行 会 话 攻击 中 能 够 欺骗 A ,协议 9.3 是 不 安全 的 。O 伪装 成 也 ,发 起 一 次 与 
A 的 会 话 。 当 O 在 第 二 个 消息 流 中 收 到 A 的 挑战 x 时 ,他 接受 ,然后 发 起 与 B 的 第 二 次 会 
话 ( 伪 装 成 A)。 在 第 二 次 会 话 中 ,O 在 第 一 个 消息 流 中 发 送 挑战 ~: AB. 4 OWI B 的 响 
应 (第 二 次 会 话 的 第 二 个 消息 流 ) ,他 转发 给 A 作为 第 一 次 会 话 的 第 三 个 消息 流 。A 会 “ 接 
受 ”, 因 此 O 在 这 次 会 话 中 成 功 地 冒充 了 B。 这 构成 了 一 个 有 效 的 攻击 ,因为 第 一 次 会 话 中 
诚实 参与 方 (也 就 是 A) 最 终 接受 了 主动 敌手 O(O 在 此 次 会 话 中 发 送 了 第 一 个 挑战 )。 
9.3 描述 了 详细 的 攻击 过 程 。 

显然 ,这 种 攻击 是 把 一 个 会 话 中 的 消息 重用 到 另 一 个 会 话 的 不 同 消息 流 中 。 弥 补 这 个 
缺陷 并 不 困难 ,实际 上 可 有 几 种 方式 来 改进 此 协议 使 其 安全 。 最 基本 的 设计 思想 是 要 保证 
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图 9.3 协议 9.3 的 攻击 过 程 示意 图 


每 个 消息 流 中 的 消息 以 不 同 的 方式 来 计算 。 协 议 9. 4 描述 了 一 种 解决 方案 。 

协议 9.4 安全 的 交互 认证 协议 。 

CD B 随机 选择 挑战 ri ,并 发 送 给 A. 

(2) A 随机 选择 挑战 ">: ,计算 y =MACx CIDCA) || ri || r2) SF RIE r: Al y WB. 

G) 也 计算 y{ 王 MACK(GID(CA) || ri | r2 WR yi =y BERE" EN, BE”. B 也 
计算 y; — MAC (ID(B) || r2 RIE y; 给 A。 

(4) A 计算 y% — MAC (ID(B) || r2) ,如 果 y: =y: A" EE" BM LA" RA". 

在 协议 9.4 中 ,只 有 第 (2) 步 y, 的 定义 做 了 改变 。MAC 的 参数 包含 rt Ar ,这 样 第 二 
个 消息 流 和 第 三 个 消息 流 (MAC 的 参数 仅 包含 r) 中 的 消息 有 不 同 的 计算 方式 。 

协议 9. 4 的 安全 性 分 析 与 协议 9. 2 类 似 , 但 稍 复杂 一 些 , 因 为 敌手 或 伪装 成 BORG AD 
或 伪装 成 A OUO B)。 可 以 计算 y 或 yo 是 以 前 会 话 “ 重 用 ”的 概率 ,也 可 以 计算 敌手 重新 
产生 新 MAC 的 概率 。 可 证 明 以 下 的 定理 。 

定理 9.2 假定 MAC 算 法 是 (e,Q) 安 全 的 ,假定 随机 挑战 的 长 度 是 kb。 那 么 交互 身 
份 识别 协议 9.4 是 (Q/2* 十 2e,Q/2) 安 全 的 。 

证 明 HF y Ay 的 计算 方式 不 同 ,一 次 会 话 中 的 y 重用 到 另 一 次 会 话 中 的 y 是 
不 可 能 的 (反之 亦 然 ) 。O 可 通过 得 到 y. 来 伪装 B 欺骗 A ,或 得 到 y, 来 伪装 A 欺骗 B。 假 
设 O 最 多 可 以 从 以 前 的 会 话 中 得 到 Q 个 MAC 值 (由 于 每 次 会 话 有 2 个 MAC 值 , 因 此 要 限 
制 O 仅 能 查询 Q/2 次 以 前 的 会 话 ), 则 y, R y 是 以 前 会 话 重用 的 概率 最 多 为 Q/2*。O 能 
产生 新 的 y， 的 概率 是 e, 能 产生 新 的 y 的 概率 也 是 e。 因 此 ,O 欺骗 A 或 B 的 概率 最 多 为 
Q/2+ 十 2e。 


9.2 基于 数字 签名 算法 的 身份 识别 协议 


假定 A 和 B 都 是 网 络 中 的 成 员 , 针 对 特定 的 数字 签名 算法 ,每 个 参与 方 都 有 相应 的 公 
钥 和 私 钥 。 在 这 种 环境 中 ,总 是 需要 提供 一 种 装置 来 证 实 网 络 中 其 他 用 户 的 公 钥 ,这 就 需要 
某 种 公 钥 基础 设施 (PKI) 。 总 之 ,假定 有 一 个 可 信 的 授权 机 构 ( 记 为 TA), 由 它 来 签署 网 络 
中 所 有 用 户 的 公 钥 (在 PKI 中 ,可 信 的 授权 机 构 常 常 称 为 证 书 认证 中 心 , 记 为 CA, 然 而 这 里 
用 TA 来 表示 ), 所 有 用 户 都 知道 TA 的 公开 验证 密 钥 Vern. 


9.2.1 证 书 发 放 协 议 
网 络 用 户 的 证 书包 含 用 户 的 身份 信息 (如 他 的 名 字 、E-mail 地 址 等 ) , 公 钥 以 及 TA 对 这 
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些 信息 的 签名 。 证 书 允 许 网 络 用 户 验证 彼此 公 钥 的 真实 性 。 例 如 ,假定 A 想 从 TA 处 获得 
证 书 ,同时 包含 A 的 公 钥 的 副本 ,将 执行 以 下 给 A 发 放 证 书 的 协议 。 

CL) TA 通过 出 生 证 或 护照 等 身份 证 明 来 确定 A 的 身份 ID(A) ,ID(A) 中 包含 A 的 身 
份 信息 。 

(2) A 的 私有 签名 算法 Sig, 和 相应 的 验证 算法 Ver, 被 确定 。 

(3) TA 产生 对 A 的 身份 标识 和 验证 算法 的 签名 s 二 Sigrs (ID(A) || Vera) ,把 证 书 
Cert(A) =CID(A) || Vera || 5) 连同 A 的 私有 签名 算法 Sig. 一 起 发 送 给 A. 

这 里 并 不 去 详细 地 说 明 A 怎样 向 TA 识别 自己 .ID(A) 的 格式 以 及 A 的 公 钥 和 私 钥 的 
选取 。 一 般 来 说 ,这 些 具体 的 应 用 细节 由 PKI 来 决定 。 

任何 知道 TA 的 验证 算法 Verr 的 用 户 都 可 以 验证 其 他 用 户 的 证 书 。 假 定 B 想 要 确认 
A 的 公 钥 的 真实 性 。A 把 证 书 给 B,B 就 可 通过 下 面 的 等 式 来 验证 TA 的 签名 : 

Verra CIDCA) || Vera ,s) = true 

证 书 的 安全 性 直接 由 TA 所 使 用 的 签名 算法 的 安全 性 得 到 保障 。 

验证 证 书 的 目的 是 认证 用 户 公 钥 的 真实 性 。 证 书本 身 并 不 提供 任何 的 身份 证 明 ,因为 
证 书 仅仅 包含 一 些 公 共 信息 。 证 书 能 发 布 或 重新 发 布 给 任何 用 户 , 证 书 的 拥有 并 不 意味 着 
独 有 。 


9.2.2 基于 数字 签名 算法 的 身份 识别 协议 


我 们 的 基本 想法 是 用 数字 签名 算法 取代 协议 9. 4 中 的 MAC 算法 。 另 一 个 不 同 之 处 
是 ,在 协议 9. 4 中 ,每 个 MAC 的 计算 要 包含 用 户 ( 产 生 此 MAC 的 用 户 ) 的 名 字 ( 这 是 很 重要 
的 ,因为 密 钥 K 是 双方 共享 的 ,任何 一 方 都 有 可 能 产生 MAC)。 而 在 这 里 ,仅仅 一 方 ,也 就 
是 拥有 私 钥 的 那 一 方 ,才能 产生 用 此 私 钥 作 的 签名 。 因 此 ,就 没有 必要 清晰 地 指出 产生 此 签 
名 的 用 户 。 

与 协议 9. 4 一 样 ,在 会 话 的 开始 ,每 个 参与 方 认定 一 个 与 其 通信 的 指定 用 户 ,然后 利用 
指定 用 户 的 验证 算法 来 验证 会 话 中 收 到 的 签名 信息 。 所 有 的 签名 信息 中 都 要 包含 指定 的 通 
信用 户 ( 接 收 签名 的 用 户 ) 的 名 字 。 

下 面 介绍 一 个 典型 的 基于 数字 签名 算法 的 交互 身份 识别 协议 ”) 。 只 要 数字 签名 算法 是 
安全 的 ,挑战 是 随机 产生 的 ,就 可 以 证 明 这 个 身份 识别 协议 是 安全 的 。 具 体 识 别 过 程 如 下 。 

CD B 随机 选择 挑战 ri ,发 送 Cert(B)Al ri 给 A. 

(2) A 随机 选择 挑战 ~: ,计算 yi — Sig. (ID(B) || ri || r2 ,发 送 CertCAD or; Aly, WB. 

(3) B 利用 证 书 Cert(A) 验 证 A 的 公 钥 Vers 。 然 后 验证 Vera (ID(B) || ri ll rasy) = 
true 是 否 成 立 。 如 果 成 立 , 则 B“ 接 受 ”; 否 则 , B“ 拒 绝 ”。B 也 计算 ys — Sig ADA) || rz), 
发 送 » 给 A。 

(4) A 利用 证 书 Cert(B) 验 证 B 的 公 和 钥 Vers。 然 后 验证 Vers (ID(A) || rz» yz) — true 
是 否 成 立 。 如 果 成 立 , 则 A“ 接 受 ”; 否 则 ,A“ 拒 绝 ”。 

只 要 上 述 协议 使 用 的 签名 算法 是 安全 的 (签名 算法 的 安全 性 定义 类 似 于 MAC 算法 的 
安全 性 定义 ), 则 下 面 的 定理 说 明了 该 协议 是 安全 的 。 

定理 9.3 假定 签名 算法 Sig 是 (e,Q) 安 全 的 ,假定 随机 挑战 的 长 度 是 kb。 那 么 上 述 
交互 身份 识别 协议 是 (Q/2 ”十 2e,Q) 安 全 的 。 
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值得 一 提 的 是 ,在 定理 9. 3 中 ,可 查询 的 以 前 会 话 的 次 数 是 Q, 而 定理 9. 2 中 却 被 限制 
为 Q/2。 这 是 因为 该 协议 中 A 和 B 使 用 不 同 的 密 钥 产生 签名 。 敌 手 允许 查询 由 A 产生 的 
Q 个 签名 和 B 产生 的 Q 个 签名 。 与 之 相反 ,协议 9.4 中 A 和 B 使 用 相同 的 密 钥 产生 
MAC。 由 于 对 给 定 的 密 钥 ,限制 敌手 最 多 查询 Q 个 由 此 密 钥 产生 的 MAC, 因 此 这 就 迫使 
要 求 敌 手 仅 能 查询 Q/2 个 以 前 的 会 话 。 


9.3 Feige-Fiat-Shamir 身份 识别 协议 


前 面 两 节 介绍 了 利用 密码 学 工具 设计 身份 识别 协议 的 方法 ,设计 身份 识别 协议 的 另 一 
种 方法 是 “从 零 开 始 ” 构 建 , 无 须 使 用 任何 密码 学 工具 。 这 种 方法 设计 的 协议 与 前 面 的 协议 
相 比 ,一 个 潜在 优势 是 他 们 可 能 更 高 效 `. 具 有 更 低 的 通信 复杂 度 。 这 种 协议 一 般 通 过 向 他 人 
证 明 自 己 知道 某 些 秘密 值 ( 如 私 钥 ), 而 不 泄露 这 个 秘密 值 的 方式 来 证 实 自己 的 身份 。 在 剩 
下 的 章节 中 主要 介绍 通过 这 种 方法 设计 的 协议 。 

Fiat 和 Shamir 在 1986 年 基于 零 知 识 证 明 思想 提出 了 一 种 新 型 的 身份 识别 协议 中 ,后 
经 Feige, Fiat 和 Shamir 改进 成 为 身份 的 零 知 识 证 明 中 。 本 节 重点 描述 Feige-Fiat-Shamir 
身份 识别 协议 ,该 协议 的 目的 是 能 使 证 明 者 A 向 验证 者 B 证 明 他 的 身份 ,而 事后 B 又 不 能 
冒充 A。 这 里 假定 存在 一 个 可 信 中 心 , 该 中 心 的 唯一 目的 是 秘密 地 选取 形式 为 4r 十 3 的 两 
个 大 素数 (这 种 整数 称 为 Blum 整数 ) 使 得 n= pg 是 计算 上 难 分 解 的 ,然后 公布 n 作为 所 有 
用 户 的 模 。 在 公开 后 ,中 心 可 以 被 取消 或 关闭 ,因为 它 再 没有 其 他 作用 。 

A 的 秘密 身份 证 i(A) 的 产生 过 程 如 下 。 

(D 在 ,中 随机 选择 k 个 数 Si，,S,，…,S,。 

(2) 随机 地 ,独立 地 选择 I, =1/S} mod n 或 一 1/S? mod n(10 jk). 

OAF D Ls Lud PA=, IDEK A 的 公开 身份 证 ;保密 S 
S, ,Sx ,将 EADS CSi ,Ss,…,S4) 作 为 A 的 秘密 身份 证 。 

验证 者 B 知道 公开 的 n 和 PCA) ,证 明 者 A 想 使 B 相信 他 知道 i(A) ,但 又 不 想 对 B 汇 
露 任何 信息 。 为 了 达到 这 一 目的 ,A MB 重复 执行 下 列 步骤 + 次 ( 轮 数 1 能 降低 A 的 欺骗 
概率 ) 。 

COD A 选择 一 个 随机 数 尺 ,计算 X= R^ mod n 3X — Rmod n, 并 将 X 发送 给 B。 

(2) B 随机 选择 一 个 向 量 (El E.) € Zt ,并 发 送 给 A. 

(3) A 计算 Y= R [| S; mod n, 并 将 Y RZA B. 

1<j<k 
(4) B 验证 是 否 有 X =+yY? [|| I; mod n. 
lS<j<n 

在 上 述 身份 识别 过 程 中 ,A 没有 提交 他 的 秘密 身份 证 ,也 没有 向 B 证明 他 的 公开 身份 
证 的 合法 性 ,而 是 向 B 通过 显示 他 拥有 关于 他 的 秘密 身份 证 的 知识 来 证 明 他 的 公开 身份 证 
的 合法 性 。 

身份 识别 与 数字 签名 的 目的 不 同 ,身份 识别 主要 用 于 实体 的 身份 认证 ,而 数字 签名 主要 
用 于 消息 的 完整 性 认证 或 消息 的 源 和 目的 认证 。 但 每 一 个 身份 识别 协议 都 可 以 派生 出 一 个 
数字 签名 算法 ,其 标准 做 法 是 用 一 个 公开 的 Hash 函数 来 代替 身份 识别 协议 中 的 验证 者 B。 
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在 以 下 的 章节 中 每 介绍 一 个 身份 识别 协议 将 相应 地 介绍 一 个 数字 签名 算法 。 下 面 以 Feige- 
Fiat-Shamir 身份 识别 协议 为 例 ,来 说 明 如 何 将 一 个 身份 识别 协议 转化 为 一 个 数字 签名 算 
法 ,将 后 者 称 为 Feige-Shamir 数字 签名 算法 ,又 称 Feige-Shamir 启发 式 签名 算法 ,后 来 人 们 
也 把 这 类 签名 称 为 知识 签名 中 。 

FAP A 随机 选取 一 个 模 数 n,n 为 两 个 大 素数 之 积 。 实 际 应 用 中 ,n 至 少 为 512b 长 ,可 
能 接近 1024b。 用 户 A 选取 大 个 不 同 的 数 w ,vs，… ,vi ,这 里 v 为 模 n 的 平方 剩余 。 计 算 
s:= l/v mod n,1<i<k。 签 名 者 A 的 公 钥 为 w se en ,vi，, 并 将 其 在 可 信 中 心 注册 , 私 钥 
Wisi sso ,se。 设 A 使 用 的 Hash 函数 为 五 (。) ,五 (。) 是 公开 的 。 

A 对 消息 m 的 签名 过 程 如 下 。 

(1) A 在 [0,n) 中 随机 选择 it 个 整数 r;(1 达 i?) ,并 计算 =r mod n, 

(2) AHR H On || zi || zs | || 2. eg (1<i<i, 1<j<k) RA Hm || x |l 
x, 上 … || z,) 的 前 kz 比特 。 

(3) AHA y; =r [[ 5; mod n a & i D HH my REO All e; Qi, 1<j< 


) 发 给 接收 者 B。 
B 验证 A 对 m 的 签名 的 过 程 如 下 。 
(OD B 计 算 z; = y [Iv modn,l<i<t, 


(2) BEH On ll e | ze oe I] zs) 的 前 Re TS HORSE BS e (1<i<t, 1<j<k) 
—%. 
Feige- Shamir 数字 签名 算法 与 RSA 数字 签名 算法 相 比 ,主要 优点 是 运算 速度 快 ,其 中 
模 乘 法 次 数 仅 为 RSA 中 的 1%~4%。kt 的 大 小 被 建议 取 在 20~72 之 间 , 如 二 9、t 二 8。 


9.4 Schnorr 身份 识别 协议 


Schnorr 身份 识别 协议 四 融合 了 几 种 身份 识别 协议 的 思想 ,主要 有 ElGamal 签名 算法 、 
Fiat-Shamir 身份 识别 协议 和 Chaum-Evertse-Van de Graff 交互 式 协议 等 ,其 安全 性 建立 在 
计算 离散 对 数 问题 的 困难 性 之 上 。 

Schnorr 身份 识别 协议 需要 一 个 可 信 中 心 , 记 为 TA。TA 选择 下 列 参数 。 

OD p 是 一 个 大 素数 (p 宇 2””) ,在 Z; 上 计算 离散 对 数 是 难处 理 的 。 

(2) q 是 一 个 大 素数 (q 之 2 ) FFAG | (p 一 1)。 

(3) a€ Z; BA qn ay Ht a— g^ e AZ, 的 本 原 元 ) 。 

(4) 一 个 安全 参数 六 2 天 g( 对 大 多 数 应 用 来 说 , 取 :一 40 将 已 提供 足够 的 安全 性 ,为 了 
更 高 的 安全 性 Schnorr 建议 使 用 t=72) 。 

(5) TA 选择 一 个 安全 的 签名 方案 , 记 签 名 算法 为 Sigra ,验证 算法 为 VerrA。 

(6) 选 定 一 个 安全 的 Hash 函数 。 像 通常 一 样 ,所 有 的 信息 在 签名 之 前 先进 行 杂凑 ,为 
了 便于 阅读 ,在 描述 协议 时 将 略 去 杂凑 这 一 步 。 

参数 pqa Verra fil Hash 函数 都 是 公开 的 。 

TA 给 每 个 用 户 颁 布 一 个 证 书 。 当 A 想 从 TA 那里 获得 证 书 时 ,A 和 TA 执行 下 列 
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协议 。 

(D TA 给 申请 者 A 建立 并 颁布 一 个 标识 串 ID(A) ,ID(A) 包 含 A 的 足够 多 的 信息 ,如 
姓名 、 性 别 、 生 日 、 职 业 、 电 话 号 码 ,指纹 信息 .DNA 码 等 识别 信息 。 

(2) A 秘密 地 选择 一 个 随机 指数 a ,0<a<<g 一 1, 计 算 v 二 a mod p 并 将 v 发送 给 TA。 

(3) TA 对 (ID(A),v) 签 名 ,s 二 Sigra(ID(A),v)。TA 将 证 书 C(A) 二 (ID(A),v,s) 发 
送 给 A。 

证 明 者 A 向 验证 者 B 证 明 他 的 身份 的 协议 , 即 Schnorr 身份 识别 协议 可 描述 如 下 。 

CD A 随机 选择 一 个 数 上 ,0 过 kg 一 1, 计 算 y=a* mod p, 

(2) A 把 他 的 证 书 C(A) — CIDCA) ,v,s) 和 7 发 送 给 B。 

(3) B 通过 检查 Verra (ID(A),v,s) 是 否 为 真 来 验证 TA HER. 

(4) B 随机 选择 一 个 数 r ,1 过 r<<2', 并 将 + 发送 给 A。 

(5) A iT TE y — Ck ar) mod g, 并 将 y 发 送 给 B。 

(6) B 3E EE e y —a*v' mod p 是 否 成 立 来 识别 A ,只 要 等 式 成 立 ,B 就 承认 A 的 身份 。 

下 面 首先 对 Schnorr 身份 识别 协议 作 一 些 解释 。 第 (1) 步 可 进行 预 处 理 , 即 在 B 出 现 之 
前 完成 。 设 置 安全 参数 上 的 目的 是 阻止 冒充 者 C 伪装 成 A 猜测 B 的 挑战 >。 因 为 如 果 上 不 
够 大 ,C 有 可 能 事先 猜测 到 的 正确 值 ,那么 C 在 第 (1) 步 任 取 ,计算 y—a7v' mod p, 当 他 
收 到 B 发 送 来 的 挑战 + 时 ,他 将 已 选 好 的 y 提供 给 B, 那 么 y 和 7 必 能 通过 第 (6) 步 B 的 验 
证 。 将 把 y 发 送 给 也 ,如 果 B 随机 地 猜测 ~, 那么 C 能 猜 中 的 概率 是 2 “。 这 样 ,对 大 部 分 应 
用 来 说 ,一 40 将 是 一 个 合理 的 选择 。 

签名 s 用 来 证 明 A 的 证 书 的 合法 性 。 当 B 验证 了 TA 对 A 的 证 书 的 签名 ,他 自己 就 相 
信 证 书本 身 是 真实 的 。A 秘密 选择 的 值 a 功能 上 类 似 于 个 人 识别 号 PIN, 它 使 B 相信 完成 
识别 协议 的 人 的 确 是 A。 但 它 与 PIN 有 着 本 质 的 差别 : 在 识别 协议 中 ,a 的 值 一 直 没 有 被 
泄露 。 而 是 A( 更 精确 地 说 是 ,A 的 智能 卡 ) 向 B 证明 他 知道 a 的 值 。 这 一 证 明 过 程 在 识别 
协议 的 第 (5) 步 完成 , 它 通过 A 用 计算 值 y 响应 B 颁布 的 挑战 7 来 完成 。 

现在 来 看 Schnorr 协议 的 安全 性 。 

首先 ,冒充 者 C 通过 伪造 一 个 证 书 C'(A) 二 (ID(A),v 5). vv ,来 模仿 A 是 难以 成 
功 的 ,因为 这 里 的 s 必须 是 TA 对 (ID(A),v) 的 签名 ,才能 通过 协议 第 (3) 步 中 B 的 验证 。 
但 只 要 TA 的 签名 方案 是 安全 的 ,C 就 不 能 伪造 TA 的 这 个 签名 > 。 

其 次 ,C 改 用 A BUIEÉSUE-S C CA) — IDCA) ,v.5) (证 书 不 保密 ,是 公开 的 ) 来 模仿 A 也 
是 难以 成 功 的 。 因 为 这 时 他 必须 猜 出 A 的 密 钥 a ,才能 在 第 (5) 步 计算 出 y= Ck ar) mod 
qW B 提出 的 挑战 +。 但 是 求 a 涉及 求 离散 对 数 问题 ,而 已 假定 在 Z。 上 计算 离散 对 数 是 
不 可 行 的 。 

尽管 如 此 ,到 目前 为 止 ,仍然 没有 证 明 Schnorr 协议 是 安全 的 。 不 过 , 它 的 一 个 修改 , 即 
下 节 将 要 介绍 的 Okamoto 识别 协议 可 证 明 是 安全 的 。 

Schnorr 识别 协议 从 计算 量 和 需要 交换 的 信息 量 两 方面 来 看 都 是 很 快 的 和 有 效 的 。 它 
也 极 小 化 了 由 A 所 完成 的 计算 量 。 这 是 考虑 到 在 许多 实际 应 用 中 ,A 的 计算 将 由 一 个 低 计 
算 能 力 的 Smart 卡 来 完成 ,而 B 的 计算 将 由 一 个 具有 较 强 计算 能 力 的 计算 机 来 完成 。 

为 了 说 明 问题 ,假定 ID(A) 和 的 长 度 均 为 512b。 如 果 TA 使 用 DSA 签名 ,那么 ;的 
长 度 为 320b。 此 时 ,证 书 C(A) 的 总 长 度 为 1344b。 
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让 我 们 考虑 一 下 A 的 计算 量 : 第 (1) 步 需要 完成 一 个 模 指数 运算 ;第 (5) 步 需要 一 个 模 
加 法 运算 和 一 个 模 乘 法 运算 。 只 有 模 指 数 运算 是 复杂 的 ,需要 的 时 间 较 长 ,但 这 个 可 以 离线 
预计 算 。 由 A 完成 的 在 线 运算 是 适中 的 。 

Schnorr 签名 算法 : 

设 p 是 一 个 大 素数 ,在 Z, 上 的 离散 对 数 问题 是 难处 理 的 ,g 也 是 一 个 大 素数 且 
q| (-1), Ra€Z; 是 一 个 阶 为 9 的 元 素 ,日 是 一 个 Hash MH. P=Z; ,A= Z} XZ, 
K 二 {(p,qyarasv):v 二 a“mod p). {A p.q.a.v MH J&433TF RU «a 是 保密 的 。 对 K—(p.q. 
ava,v) 和 一 个 (秘密 的 ) 随 机 数 Kk EZ; ,定义 Sigk (x,k) 二 (Y,y), 其 中 y=a* mod p, y= 
(k+aH(2,y)) mod q. X} z.y€ Z; fl y € Z,, E X. Very x, y y) =R ey — aV" 
mod p. 


9.5 Okamoto 身份 识别 协议 


Okamoto 身份 识别 协议 四 是 Schnorr 身份 识别 协议 的 一 种 改进 。 在 假定 Z 上 计算 一 
个 特定 的 离散 对 数 是 难处 理 的 情况 下 ,可 证 明 这 种 改进 的 安全 性 。 但 仅 就 速度 和 有 效 性 来 
讲 ,Schnorr 协议 比 Okamoto 协议 更 实用 。 

为 了 建立 这 一 协议 ,TA 像 在 Schnorr 协议 中 一 样 ,选择 两 个 大 素数 pz fq. TA 也 在 
Z, 中 选择 两 个 阶 为 g 的 元 素 cy 和 a;。 对 系统 的 所 有 参加 者 包括 A,TA 保密 c—log, a. 
假定 任何 人 (即使 A 和 C 合伙 ) 计 算 值 c 是 不 可 行 的 。 像 在 Schnorr 识别 协议 中 一 样 ,TA 
选择 一 个 签名 算法 和 一 个 Hash 函数 。 

TA 向 A 颁布 证 书 的 协议 如 下 。 

Q) TA 给 申请 者 A 建立 并 颁布 一 个 标识 串 IDA). 

(2) A 秘密 地 选择 两 个 随机 指数 wa 和 a2 Oa; sa; Sq— 1. iH v=ar a; mod p 3f 
将 vv 发送 给 TA。 

(3) TA 对 (ID(A),v) 签 名 ,s 二 Sigra(ID(A),v)。TA 将 证 书 C(A) —CIDCAD v. I 
送 给 A。 

Okamoto 身份 识别 协议 如 下 。 

COD A 随机 选择 两 个 数 k A hee Ok, ,ks<q 一 1, 并 计算 y— ah af: mod p. 

(2) A 将 他 的 证 书 C(A) 二 (ID(A) ,v,s) 和 7 发 送 给 B。 

(3) B 通过 检验 Verra(ID(A),v,s) 是 否 为 真 来 验证 TA 的 签名 。 

(4) B 随机 选择 一 个 数 r ,1<<r<2' ,并 将 7 发 送 给 A。 

(5) A TEE y: — Ck; air) mod q 和 yz 一 (ks 十 asr) mod q, 并 将 y1、ys 发 送 给 B. 

(6) B HARÉ y —a7 a7 v' mod p 来 识别 A。 

Okamoto 协议 和 Schnorr 协议 的 主要 差别 在 于 : 在 假定 计算 离散 对 数 log, a 是 不 可 
行 的 情况 下 ,能 够 证 明 Okamoto 协议 是 安全 的 。 

Okamoto 协议 的 完备 性 (也 就 是 ,B 接受 A 的 身份 证 明 ) 的 证 明 是 明显 的 。 

安全 性 证 明 是 很 微妙 的 。 总 体 思路 是 : 假定 A 通过 多 项 式 次 数 执行 协议 向 O 识别 自 
己 的 身份 : 假定 (希望 得 到 矛盾 结果 )O 能 够 获取 关于 A 的 秘密 指数 a Ma, 的 一 些 信 息 。 
如 果 此 条 件 成 立 ,可 以 证 明 A 与 O 联合 能 在 多 项 式 时 间 内 (以 相当 大 的 概率 ) 计 算出 离散 对 
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数 c。 这 就 与 上 面 提 到 的 假设 相 矛 盾 , 从 而 证 明了 O 不 能 通过 参与 协议 而 获取 关于 A 指数 
的 任何 信息 。 
证 明 过 程 的 第 一 步 类 似 于 Schnorr 身份 识别 协议 的 证 明 。 假 定 O 知道 yY, 同 时 能 计算 
两 个 不 同 挑战 + 和 s 的 有 效 响应 。 也 就 是 ,假定 O 能 计算 yw 、y zs 和 ,满足 -天 >， 
而 且 
Y-—aphafjwv = añ a} v (mod p) 
O 能 计算 
bi = (y — zı) G—3)! moddg 和 b; = Cy; — 22) (r—s) mod q 
满足 等 式 : v-—ar^a;^ (mod p). 
现在 证 明 A 与 O 合谋 能 够 计算 c( 以 相当 大 的 概率 )。 假 定 以 上 所 述 O 能 够 确定 和 
b, 满足 
v — a^ a,” (mod p) 
那么 假定 A 向 O 泄露 秘密 值 a 和 a; 。 当 然 
v — a,^a;," (mod p) 
因此 
af 三 ae (mod p) 
假定 (a 52) Cb b2) ,那么 (2 一 as) mod g 存在 ,而 且 多 项 式 时 间 内 能 计算 离散 对 数 
c = log, az = (a; — bi) (bz — a2)" mod q 
下 面 考虑 (a ,az) 一 (0 2) 的 可 能 性 。 如 果 这 种 情形 发 生 ,c 就 不 能 按 上 述 公式 被 计算 


出 来 。 然 而 ,认为 Ca sas) =, , 包 ) 成 立 的 概率 只 有 二 ,因此 几乎 能 保证 A 与 O 合谋 计算 


出 c。 
定义 
A= {(aoo) € ZX Z, ia, a; = a7“ a,“ (mod p)} 
也 就 是 ,A 包含 了 所 有 可 能 是 A 的 秘密 指数 的 有 序 对 。 注 意 到 .4 可 以 表示 为 
A= (Qai 一 cg,az 十 0):0E Z,} 
这 里 c 一 log。 cs 。 因 此 .4 包含 了 q 个 有 序 对 。 

O 计 算 的 有 序 对 (b1 ,5;) 一 定 在 集合 A 中。 认为 有 序 对 (6b b) PAS A 秘密 指数 
(a1,as) 的 值 是 独立 的 。 由 于 (a1,as) 由 A 随机 选择 ,因此 (a ,as) 二 (5b1,bs) 成 立 的 概率 
EL. 

需要 解释 一 下 (ii ob.) 独立 ?于 (a ,az) 的 含义 。A 的 秘密 指数 (a ,az ) 是 集合 4 中 9 个 
可 能 的 有 序 对 之 一 ,究竟 哪 一 个 才 是 “正确 的 "有 序 对 ,A 没有 泄露 任何 信息 。 不 严格 地 说 ， 
OO 知道 A 的 秘密 指数 对 来 自 于 4A, 但 没有 办 法 分 辩 是 哪 一 个 。 

现在 来 看 看 身份 识别 协议 执行 过 程 中 交换 的 信息 。 基 本 上 ,每 次 协议 执行 时 ,A 选择 
7;O 〇 选择 7 ;然后 A 计算 y 和 > 满足 

Y = aŭ a} v' (mod p) 
A 具体 计算 
yı = (k;dair) modq 和 y; = Ck; d- a;r) mod q 
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这 里 y—ahaf mod p。 但 要 注意 k, Ak, 没有 公开 (a 和 a; 也 没有 公开 ) 。 

由 于 yi 和 y 的 计算 依赖 于 a 和 as ,协议 执行 过 程 中 产生 的 四 元 组 (y,r,y ,2 ) 似 乎 
依赖 于 A 的 有 序 对 (a ,az)。 然 而 可 以 证 明 每 个 这 样 的 四 元 组 都 能 由 任何 其 他 的 有 序 对 
(ai,a2) 生 成 。 为 了 说 明 这 个 结果 ,假定 (ai,a)E.4, 即 ai 一 a 一 cg,o: 一 0 十 90, 这 里 0<0< 
4 一 1。y My 有 以 下 表示 : 

N= kı +aır 

+ Ca'i+c0)r 
= (k, +rc0)+a'r, 
Har 

= ks 二 (as— Or 

= (ki — r0) t- air 
这 里 所 有 的 计算 都 是 在 Z, 中 。 也 就 是 说 ,四 元 组 (y,r,yi,ys) 也 可 以 由 有 序 对 (ai ,as) 来 产 
生 , 这 时 用 随机 选择 ki =k, orco 和 ;二 ,一 9 来 产生 (相同 的 )Y。 我 们 已 经 注意 到 A 没 
有 公开 kk! 和 ks, 因此 四 元 组 (Y,7,y,y;) 没 有 泄露 A 实际 使 用 4 中 哪个 有 序 对 作为 他 的 秘 
密 指数 。 

这 个 安全 性 证 明 是 相当 漂亮 和 微妙 的 , 它 对 于 回顾 协议 中 与 安全 性 证 明 相关 的 一 些 特 
征 也许 是 有 帮助 的 。 其 基本 思想 是 让 A 选择 两 个 秘密 指数 而 不 是 一 个 。 在 集合 4 中 一 共 
有 4 个 有 序 对 与 A 的 秘密 指数 对 (al ,az 多 等 价 ”。 导 臻 最 终 矛 盾 结 果 的 是 知道 4 中 两 个 不 
同 的 对 ,就 可 以 有 效 地 计算 出 离散 对 数 c<。 当 然 ,A 知道 A 中 一 个 有 序 对 (a ,az); 证 明了 如 
R O 能 够 假冒 A ,那么 O 可 以 计算 出 (以 大 概率 )4 中 不 同 于 (Ca ,az) 的 另外 一 个 有 序 对 。 这 
FÉ A 55 O 一 起 能 找到 4 中 两 个 对 ,从 而 计算 出 ,导致 了 矛盾 。 

Okamoto 签名 算法 : 

系统 的 参数 为 bd,aw vaz M tq | (p 一 1),p fla 为 大 素数 ,p 至 少 为 512b Kg 至 少 为 
140b Kt 是 一 个 安全 参数 ,至 少 为 20,o 和 os 都 是 Z, 中 阶 为 9 的 元 素 。 签 名 者 A 的 公 
HA v—a,^a;* mod 力 , 私 钥 是 一 对 参数 ou ,az ,al ,as € Zo H 是 一 个 单 向 函数 。 

当 A 对 消息 m 签名 时 ,首先 随机 选择 两 个 数 nn € Z, ,然后 计算 : 

工 一 aha?2 mod p, 
e= H(z,m), 


yı = (rı +ea,) mod q, 


| 
= 
\ 


s 
y 
S 
i 


yz = (rz +eaz) mod q 
A 对 消息 m 的 签名 是 三 重组 (e,yi y. 
当 接收 者 B 收 到 签名 (e, yi ,ys) 时 ,B 3ETE x — a az v' mod pli Ef 3$ e— H Grm) 
是 否 成 立 来 验证 A 的 签名 。 


9.6 ”Guillou-Quisquater 身份 识别 协议 


Guillou-Quisquater 身份 识别 协议 中 的 安全 性 是 基于 RSA 算法 的 安全 性 。 
TA 选择 两 个 大 素数 p 和 gq, 形 成 4 二 pq。 保密 p 和 gq, 公 开 n。TA 选择 一 个 大 素数 5， 
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b 用 作 安 全 参数 和 公开 的 RSA 加 密 指数 。 一 般 假定 5 是 一 个 40b 长 的 素数 。TA 选择 一 个 
签名 算法 和 Hash 函数 。 
TA 向 证 明 者 A 颁布 证 书 的 协议 如 下 。 
(D) TA 建立 A 的 身份 并 颁布 一 个 标识 串 IDA). 
(2) A 秘密 地 选择 一 个 整数 u (OS u<n—-1),A 计算 v= (uw) mod n, 并 将 v RIK 
给 TA。 
(3) TA 对 (ID(A),v) 签 名 ,s 二 Sigra (ID(A),v)。 并 将 证 书 CCA) = CID(A) ,us) 发 送 
给 A。 
证 明 者 A 向 验证 者 B 证 明 他 的 身份 的 协议 , 即 Guillou-Quisquater 身份 识别 协议 如 下 。 
(1) A 选择 一 个 随机 数 k,0 过 kn 一 1, 并 计算 Y= k’ mod n, 
(2) A IRER C(A) = ADA) ,v,s) 和 7 发 送 给 B。 
(3) B 通过 检验 Verra(ID(A),v,s) 是 否 为 真 来 验证 TA 的 签名 。 
(4) B 选择 一 个 随机 数 r(0 三 r<5 一 1) ,并 将 7 发 送 给 A。 
(5) A 计算 y= ku" mod n, 并 将 y 发 送 给 B. 
(6) B 通过 检验 y 三 vy* mod n 是 否 成 立 来 识别 A。 
现在 来 说 明 Guillou-Quisquater 身份 识别 协议 是 合理 的 和 完备 的 。 与 通常 一 样 , 证 明 
完备 性 是 很 简单 的 : 
vy’ = (u* Y C(ku')' (mod n) 
= u™ k*u” (mod n) 
= k’(mod n) 
= y(mod n) 
现在 来 考虑 合理 性 。 将 证 明 假设 从 v 求 出 x 是 计算 上 不 可 行 的 ,那么 协议 就 是 合理 的 。 
由 于 v 是 由 4 经 过 RSA 加 密 得 到 的 ,因此 这 是 一 个 可 信 的 假设 。 


假定 O 知 道 7, 他 假冒 A 的 成 功 概率 是 之 也。 那么 对 于 y, 假 定 O 能 计算 yi、ys、n、 
ri Are A 


y= vi yt = v: yj (mod n) 
不 失 一 般 性 ,假定 re. BAA 
un = (y; / y;)' (mod n) 
由 于 O<r — rb Hb SERB t (r — r) mod0 存 在 ,O 能 在 多 项 式 时 间 内 通过 欧 几 里 
德 算法 计算 出 :。 因 此 有 
vi! = (y/y) (mod n) 
由 于 存在 整数 4, 使 得 
Gi —r)t = tb+1 
因此 
V^! = (yi / yi)" (mod n) 
或 等 价 地 
v = Cy;/ yı)” Cu") (nod n) 
dn EAS AAI EE b mod $(n) 运 算 , 则 
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Ww = (yz/ y1) Cw")! (mod n) 
最 后 ,等 式 两 边 同时 进行 模 逆 运 算 , 计 算出 , 即 
u = Cy / y;2! CO (mod n) 

O 可 以 用 此 公式 在 多 项 式 时 间 内 计算 出 v。 

Guillou-Quisquater 签名 算法 : 

签名 者 A 选择 两 个 大 素数 p 和 9g, 形成 二 pg。A 选择 一 个 大 素数 5 和 一 个 Hash 函数 
H., A 秘密 选择 一 个 整数 ,gcd(w,n) 二 1, 将 u 作为 他 的 私 钥 。A KAHA v=) mod 
ns, AF nbo, H ARE p、g 和。 

A 对 消息 m 的 签名 过 程 如 下 。 

(1) 随机 选择 一 个 整数 上 ,0 三 kn 一 1, 计 算 r=k* mod n. 

(2) 计算 e— Hn. 

(3) 计算 y= ku’ mod n. A 对 消息 m 的 签名 是 数 对 (e,y) 。 

接收 者 B 验证 签名 的 过 程 如 下 。 

CD 获得 A 的 公 钥 n、b、v。 

(2) HH r= yv* mod n fll e' — HOn sr). 

(3) 验证 是 否 有 ese’ WR e=e' , 则 B 接收 A 的 签名 ;否则 拒绝 。 


9.7 GPS 身份 识别 协议 


GPS 身份 识别 协议 是 欧洲 NEESIE 工程 中 的 一 个 候选 方案 ,该 协议 是 一 个 交互 式 零 
知识 识别 协议 , 它 具 有 以 下 特点 : 在 一 般 任 意 模 数 离散 对 数 问 题 ( 它 等 价 于 整数 分 解 问题 和 
计算 素数 模 的 离散 对 数 问题 ) 难 解 的 假设 下 是 可 证 明 安全 的 ,基于 身份 的 短 密 钥 ,非常 小 的 
信息 传输 量 和 最 小 化 的 在 线 计算 量 。 

设 k.1.A、B、S iÈ 5 PREM n= pXqié—A kb EU. p 和 g 是 两 个 上 /2b 的 素数 ,g 为 
Z; 中 的 一 个 元 素 ,假定 计算 以 g 为 底 模 n 的 离散 对 数 是 困难 的 。 保 密 或 销毁 pq. AFF no 

从 [0,S) 中 选取 私 钥 s, mAH I Mh =g mod n 确定 。 令 @B 一 (B 一 1)(S 一 1),GPS 
身份 识别 协议 的 一 轮 识别 过 程 如 下 。 

(1) 证 明 者 从 [0,A) 中 随机 选取 一 个 ,计算 “委托 ”x 二 g” mod n 并 发 送 给 验证 者 。 

(2) 验证 者 从 [0,B) 中 随机 选取 一 个 “挑战 ”c 发 送 给 证 明 者 。 

(3) 证 明 者 验证 cE[0,B) ,计算 > 一 "十 <cXs, 并 将 y 发 送 给 验证 者 。 

(4) 验证 者 验证 x—g"I* mod n K yE[0,A+O) BAM. 

重复 上 述 过 程 LX. 

GPS 识别 协议 与 Schnorr 识别 协议 相 比 有 以 下 几 个 不 同 点 。 

COD. 用 一 个 合 数 代替 了 原来 的 素数 p 作为 模 。 

(2) 没有 了 原来 的 参数 ,元 素 g 的 阶 也 不 知道 ,而 且 y 是 在 Z 中 计算 的 。 

(3) 在 区 间 [0,A) 中 选取 随机 值 ~, 使 得 私 钥 s 隐藏 于 > 一 ~ 十 cs 之 中 。 

(4) 证 明 者 必须 验证 c 在 正确 范围 之 内 ,验证 者 必须 检查 y 值 不 能 太 大 。 

下 面 来 证 明 GPS 识别 协议 的 安全 性 。 首 先 给 出 将 要 用 到 的 安全 模型 的 精确 描述 ,然后 
采用 Feige Fiat 和 Shamir 的 方法 来 证 明 GPS 识别 协议 对 主动 敌手 攻击 的 安全 性 , 亦 即 要 


260 Lid > RESLAR 


证 明 完 全 性 (Completeness)、 合 理性 (Soundness) 和 有 零 知 识 性 。 
9.7.1 安全 模型 


一 个 识别 协议 的 目的 是 证 明 者 要 使 验证 者 相信 他 自己 的 身份 。 证 明 者 和 验证 者 都 可 用 
概率 多 项 式 时 间 图 灵机 PPTM 来 模型 化 。 这 样 的 一 个 PPTM(|z|) 具 有 一 条 特殊 的 通信 带 
w, 它 的 初始 状态 是 布 满 随机 均匀 选择 的 比特 。 证 明 者 和 验证 者 还 有 其 他 可 供 读 / 写 的 通 
desti. 

下 面 考虑 如 图 9. 4 所 示 的 交互 识别 环境 。 首 先 使 用 随机 通信 带 wre 的 一 个 随机 化 算法 ， 
对 安全 参数 k 产生 公共 参数 pp; 然 后 使 用 随机 通信 带 wx 的 一 个 概率 算法 ,产生 公私 钥 对 
(pk,sk) 并 发 送 私 钥 给 证 明 者 ,公开 相应 的 公 钥 ; 最 后 ,识别 就 是 在 证 明 者 和 验证 者 之 间 进 
行 一 个 交互 式 协议 ,最 终 所 导致 的 结果 就 是 验证 者 要 么 接受 要 么 拒绝 。 


pp 
pp 
o, f 
sk 
pk 
证 明 者 [> | 验证 者 


Le 接受 否 ? 


图 9.4 交互 识别 环境 


在 上 述 环境 中 ,每 一 个 人 都 是 诚实 的 。 现 在 考虑 一 下 这 种 情形 的 一 种 变形 : 加 入 一 个 
试图 假冒 证 明 者 的 攻击 者 。 针 对 证 明 者 的 公 钥 , 他 试图 使 验证 者 接受 他 作为 真实 证 明 者 。 
在 这 个 模型 中 ,不 考虑 对 公共 参数 和 密 钥 产生 的 攻击 。 因 此 ,对 攻击 者 而 言 , 他 只 有 两 条 途 
径 来 获得 信息 : 首先 ,他 可 以 被 动 地 观察 证 明 者 和 验证 者 之 间 常 规 认 证 的 通信 ;其 次 ,一 个 
主动 攻击 者 能 够 假扮 成 验证 者 或 证 明 者 。 主 动 攻击 和 被 动 攻击 之 间 的 区 别 就 在 于 主动 攻击 
者 会 偏离 诚实 验证 者 遵守 的 协议 ,他 这 样 做 就 是 为 了 提取 更 多 关于 证 明 者 私 钥 的 信息 。 

只 考虑 不 与 证 明 者 和 验证 者 同时 交互 通信 的 攻击 者 。 因 此 ,一 个 这 样 的 攻击 者 就 可 以 
看 作 两 个 概率 多 项 式 时 间 图 灵机 : 第 一 个 “攻击 者 (1)”, 他 假冒 验证 者 与 证 明 者 进行 多 项 式 
次 数 的 认证 ;第 二 个 “攻击 者 (2)”, 他 假扮 成 原来 的 证 明 者 与 验证 者 通信 ,参见 图 9. 5。 注 
意 : 在 这 个 安全 模型 中 不 考虑 同时 进行 的 攻击 ,也 就 是 说 ,攻击 者 与 证 明 者 进行 并 发 的 认证 
或 者 重 置 攻击 。 更 进一步 ,经 典 的 中 间 入 侵 攻 击 并 不 能 进行 ,因为 把 与 证 明 者 的 交互 和 与 验 
证 者 的 交互 区 分 开 了 。 

现在 在 这 个 安全 模型 下 来 给 出 安全 识别 协议 的 定义 。 

称 一 个 识别 协议 是 安全 的 ,如 果 对 任何 概率 多 项 式 时 间 攻 击 者 ,他 被 接受 的 概率 都 是 可 
ZKJ BIYEN, F ko, V k- ko A 
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攻击 者 ok sus 


图 9.5 安全 模型 


Pr {验证 者 接受 攻击 者 (2)) 二 十 


ee ki 

换言之 ,只 有 对 足够 大 的 安全 参数 ,对 随机 选择 的 参数 和 密 钥 ,任何 多 项 式 时 间 攻 击 
者 成 功 的 概率 都 是 可 忽略 的 ,识别 协议 才 被 认为 是 安全 的 。 当 然 ,这 并 不 意味 着 某 个 攻击 者 
不 能 针对 某 一 特殊 公 钥 来 进行 假冒 (攻击 者 可 以 自己 使 用 常规 的 密 钥 生 成 算法 来 产生 一 对 
公 、 私 钥 , 对 这 样 产 生 的 公 钥 ,攻击 者 只 需 遵 守 协 议 ,就 可 以 轻易 被 接受 ) ,这 只 是 说 攻击 者 不 
可 能 设计 一 个 一 般 的 假冒 者 。 在 渐 近 环境 中 ,能 够 攻破 某 一 特定 密 钥 并 不 具有 太 大 的 意义 。 


9.7.2 GPS 的 安全 性 证 明 


首先 引进 一 些 记号 。 对 任何 整数 zx, 用 |z| 记 z 的 二 进 制 表 示 的 比特 数 (Llog:(Cz)j 十 
1); 定 义 函 数 g: (true) 一 1,5(Cfalse) 一 0; 用 概率 多 项 式 时 间 图 灵机 PPTM(K) 作 为 计算 模 
型 , 它 的 运行 时 间 是 安全 参数 的 多 项 式 量 级 ;最 后 ,用 "A” 表 示 逮 辑 “ 与 ?运算 。 

取 安 全 参数 k= |n|.S.ABlBEK 的 函数 。 为 了 简化 记号 ,并 不 写 明 对 的 依赖 关 
系 。 当 说 f£ 是 可 忽略 的 , 意 指 对 任何 常数 d 和 足够 大 的 大 ,有 fOO 1/k*, 

为 了 证 明 安全 性 ,首先 来 证 明 对 诚实 的 证 明 者 而 言 ,他 能 够 被 正确 地 认证 , 即 完 全 性 
(Completeness) 。 然 后 , 零 知 识 性 表明 一 个 攻击 者 与 证 明 者 的 通信 是 可 以 模拟 的 。 这 表明 
9.5 中 的 证 明 者 可 以 被 一 个 不 知道 私 钥 的 模拟 器 取代 。 由 于 与 模拟 器 的 通信 过 程 和 与 真 
实 的 识别 过 程 是 不 可 区 分 的 ,所 以 攻击 者 察觉 不 到 这 个 变化 。 因 此 ,攻击 者 从 模拟 器 得 到 的 
信息 与 从 真实 的 证 明 者 那儿 得 到 的 信息 一 样 多 。 这 样 就 可 以 推断 ,在 协议 执行 过 程 中 没有 
泄露 任何 关于 私 钥 的 信息 。 

最 后 证 明 ,如 果 一 个 攻击 者 能 以 一 个 不 可 忽略 的 概率 被 接受 ,那么 ,基于 此 事实 可 构造 
一 个 算法 在 多 项 式 时 间 内 解决 一 个 事先 设 定 的 困难 问题 , 即 合理 性 (Soundness) 。 在 这 个 证 
明 中 ,改动 了 一 下 密 钥 生成 算法 ,但 改动 后 的 密 钥 分 布 与 真正 的 密 钥 分 布 是 不 可 区 分 的 。 
此 推断 ,如 果 在 模型 中 存在 一 个 PPTM(|z| ) 攻 击 者 ,那么 以 g 为 底 模 n 的 离散 对 数 就 可 以 
在 |n| 的 多 项 式 量 级 时 间 内 算出 。 由 于 假定 这 个 问题 对 足够 大 的 n 和 阶 数 足够 大 的 底 是 困 
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难 的 ,所 以 GPS 识别 协议 对 主动 攻击 敌手 而 言 是 安全 的 。 

出 于 效率 的 原因 , 私 钥 在 [0,S) 内 选择 ,并 且 没有 模 g 的 未 知 阶 。 因 此 ,GPS 的 安全 性 
并 没有 归结 为 离散 对 数 问题 ,准确 地 说 是 归结 为 所 谓 的 短 指数 离散 对 数 问题 。 

B njé—T HB EZ? , 设 S 是 小 于 g 的 阶 的 一 个 整数 , 短 指数 离散 对 数 问题 是 指 : 
AE yE 2; ,寻找 zxE[0,S) ,满足 > 一 gf mod n. 

定理 9.4( 完 全 性 ) ”对 于 一 个 知道 其 公 钥 所 对 应 的 私 钥 的 证 明 者 和 一 个 验证 者 而 言 ， 
GPS 识别 协议 的 执行 总 是 成 功 的 。 

WEBB 在 每 一 轮 结束 ,验证 者 都 得 到 二 g” mod n 和 3 一 r 十 cs, 其 中 后 者 对 知道 私 钥 s 
的 证 明 者 而 言 是 很 容易 计算 的 。 因 此 ， 

gl = gig" = g =2modn 
再 者 ， 
0<Sy=rte <(A—-1)4+(B—-1)(S—-1) << A+O@ 

合理 性 就 是 要 证 明 : 如 果 验 证 者 以 很 大 概率 接受 了 一 个 证 明 者 ,那么 ,证 明 者 必定 知道 
I 的 以 g 为 底 模 n 的 离散 对 数 。 直 观 地 讲 ,在 发 送 “ 委 托 ”z 之 后 ,如 果 证 明 者 能 以 大 于 1/B 
的 概率 正确 响应 y ,那么 对 两 个 不 同 的 “挑战 "c 和 c ,他 一 定 能 够 正确 响应 y 和 yy ,满足 y， 
y A ,.g'I'—z—g'l^ mod n, Bh o=y—y st=c'—c. FH g? =F mod n。 下 面 的 引 理 
9. 1 正式 地 陈述 了 这 些 思想 ,其 中 暗含 着 。 依赖 于 k= Inl. 

引 理 9.1 假设 对 某 个 PPTM(|n|) 敌 手 , 对 某 一 公 钥 了 他 以 e 二 1/B' 的 概率 被 接受 , 那 


么 存在 一 个 算法 , 它 以 大 于 二 (5 如】 的 概率 输出 (5,DD € (一 A 一 ,A 十 @) X CD ,请 


€ 
KE g'—I mod n。 该 算法 的 平均 运行 时 间 二 2/et, 这 里 t+ 是 一 次 证 明 执 行 所 需 的 平均 运行 
时 间 。 

证 明 假设 某 个 随机 通信 带 为 w 的 PPTM CIn D KF P G0 9E — A 88 I. We= 
1/B' 十 e 的 概率 被 接受 。 在 “挑战 ”为 c,,… scr 的 情况 下 ,P(w) 识 别 的 结果 (成 功 或 失败 ) 记 
为 SuccGo ci s**t.) E (true, false}. W 

Pr {Suce(w sey ,sc))} > e = 1/ B' +e 


-— 


构造 以 下 算法 。 

A) 选择 一 个 随机 带 w 和 一 个 1 元 数组 c= 二 (cl 00 ,c; EL0,B) 直 到 Succ(w,c) 成 功 。 
记 试 验 次 数 为 wx。 

(2) 试验 次 随机 17 元 数组 c ^c 直到 Succ(o,c') 成 功 ; 如 果 在 v 次 试验 后 没有 找到 这 
FERS c' ,那么 算法 失败 。 

(3) 设 j 是 满足 cj 了 的 下 标 ,用 y; 和 ?分别 记 巨 (w) 的 相应 正确 响应 。 如 果 c c; IE 
么 算法 输出 o y; y; cc; c6 iG WI HL c 一 六 一 ,tf 二 一 cj。 

如 果 算法 不 失败 ,那么 证 明 者 能 够 对 两 个 不 同 的 “挑战 ”c 和 < ,正确 响应 y 和 y ,满足 
yy A o. gI =r=gI" mod mn。 因此 ,时 一 下 mod noE (—A—G,A+G),7€E (0,B), 

现在 来 分 析 一 下 上 述 算法 的 复杂 度 。 由 假设 可 知 ,P(w) 成 功 的 概率 是 ,因此 第 (1) 步 
以 同样 的 概率 找到 w 和 c; 重 复 实验 次 数 的 期 望 值 是 1/e, 试 验 次 数 以 e(1 一 e)” 的 概率 
取 值 N。 

H O EW Æ Pr {Suce (o, 0) Ze — 6/2 — VB' +e'/2 的 随机 通信 带 w 的 集合 。 在 
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SuccCGoc) = true 的 条 件 下 ,第 (1) 步 找到 的 随机 带 o 属于 2 的 条 件 概 率 的 下 界 为 
Pr(o€ Q|Succ(o c) —1— Pr(e € Q| SuccCo.c)) 
Pr(o€ Q) 


(Sb) lu OP eS DT 


随机 带 w VA e /2e 的 概率 属于 0, 这 时 由 集合 Q 的 定义 可 知 ,能 使 算法 成 功 的 数组 
<c 天 c 的 概率 之 e /2, 少 于 N 次 试验 就 得 到 这 样 一 个 “的 概率 这 1 一 (1 一 e /2) > 。 
因此 ,得 到 这 样 一 个 wEQ 和 找到 一 个 c 的 概率 就 大 于 : 


gSexa o"[ (1 5)"] 


z1-( 


Fe eae > BF 

因此 ,该 算法 以 >e /6e? 的 概率 找到 (o,r),P(w) 和 验证 者 之 间 执行 证 明 的 总 期 望 次 数 
小 于 2/e。 

如 果 GPS 识别 协议 像 Schnorr 识别 协议 一 样 , 已 知 g 的 阶 ,并 且 g 的 阶 Ord(g) 与 区 间 
(0,B) 中 的 任何 整数 互 素 , 那 么 从 g =I mod n RE AGA s 就 很 容易 ,只 需 解 o 一 st 二 0 mod 
Ord(g) 即 可 。 但 如 果 g 的 阶 未 知 ,即使 假定 一 些 更 强 的 陈述 ,比如 强 RSA 问题 ,也 无 法 解 
这 个 等 式 。 因 此 ,GPS 识别 协议 并 不 是 一 个 离散 对 数 的 知识 证 明 。 然 而 ,在 安全 模型 之 下 
可 证 明 它 的 安全 性 ,只 需 假设 计算 以 g 为 底 模 n 的 离散 对 数 问题 是 困难 的 即 可 。 现 在 先 回 
顾 一 个 概率 方面 众所周知 的 引 理 。 

引 理 9.200 设 ACX。Y, 满 足 Pr{A(z,y)}) 之 ee RlQ—(a€ X|Pr(ACa 30) Z2e/2), 


那么 


Priz E N} >e/2 

定理 9.5( 合 理性 ) ”假设 某 个 PPTM(|n|) 敌 手 以 不 可 忽略 的 概率 被 一 个 诚实 验证 者 
接受 ,log CInD —oQX BD LB 都 是 |n| 的 多 项 式 量 级 ,那么 存在 一 个 PPTM(|n| ) 能 求解 
短 指数 离散 对 数 问 题 。 

证 明 JH D— (I—g' mod nsE[0,S)} 记 所 有 可 能 的 公 钥 之 集 。 设 I。ETT, 现 在 来 描述 
一 个 能 计算 五 的 以 g 为 底 模 的 离散 对 数 的 算法 。 

为 了 使 证 明 简单 ,给 出 一 个 非 均 匀 (Non-uniform) 算 法 来 计算 离散 对 数 , 也 就 是 一 个 依 
赖 于 攻击 者 成 功 概 率 的 算法 。 然 而 并 没 真正 使 用 这 个 概率 值 , 而 是 用 它 来 估计 复杂 度 , 所 以 
可 以 很 容易 把 这 个 算法 转化 成 一 个 均匀 (Uniform) 算 法 ,只 需 把 下 边 描述 的 所 有 图 灵机 并 
行 运行 就 可 以 了 。 
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在 安全 模型 中 ,一 个 攻击 者 成 功 的 概率 x 是 指 
x= Pr HAA 了 ,敌手 被 接受 } 


TET wg v 


其 中 wa 是 敌手 PPTM(|n|) 的 随机 带 ,wv 是 诚实 验证 者 的 随机 带 。 概 率 x 是 在 所 有 随机 带 
和 公 钥 上 计算 ,因此 ,对 某 些 公 钥 ,这 个 成 功 概 率 值 可 能 非常 小 。 然 而 对 不 可 忽略 的 密 钥 部 
分 ,成 功 概率 不 能 “ 太 小 ”。 
Wt D, 是 满足 以 下 条 件 的 公 钥 子 集 : 
.Pr HAH 了 ,敌手 被 接受 } > x/2 


引 理 9. 2 表明 , 公 钥 工 属于 这 个 子 集 的 概率 大 于 r/2。 对 这 样 的 密 钥 , 引 理 9. 1 表明 ,存在 
一 个 PPTM(|n|)A(D ,在 时 间 T—4/zc 内 ,以 概率 e> (x/2— 1/ BO* /C60x/2)*) f H Co c) 
€ (CA—0,A-- 4) X CO,B)if E g" —I* mod n, 

因此 , 公 钥 g' mod n JT D, HFA ADH H GO ii g —I* mod n 的 概率 大 于 r/2e。 
根据 4(D 输 出 的 (c,r) 是 否 满足 o 一 sr 二 0, 可 以 分 为 以 下 两 种 情况 进行 讨论 。 

(1) 在 大 多 数 时间 ,4(D 输 出 (c,z) 满 足 c 一 sr 一 0, 立 即 得 到 所 要 找 的 离散 对 数 * 一 c/r。 

(2) 如 果 4(D 输 出 的 (c,r) 不 满足 o 一 sr 二 0, 得 到 g 的 乘法 阶 的 一 个 倍数 ,这 个 信息 能 
用 来 解 等 式 o 一 zr 一 0 mod Ord(g) ,从 而 由 4(D 的 输出 计算 出 离散 对 数 。 

情形 1: 如 果 公 钥 g' mod n RFI 并 且 ACD fih GO WE o— sc—0 的 概率 大 于 
xe/4, 则 

Pune € TAA(g') fiit Cor) Ae — sc = 0) > me/4 

此 时 ,可 用 下 列 算法 计算 及 的 离散 对 数 。 

OD 选择 re (一 S,S) 。 

(2) HA I'=1, X g' mod n. 

G) 对 输入 工 运行 4。 

(4) 如 果 ACI) fi Ho.) WIE rloso/rHrE [0. S) fll I; =g" mod n, 输 出 logs o = 
ao/r 十 六 否则 返回 (1) 重 新 开始 。 

WR To ET rE (一 S,S),T'ET 的 概率 是 1/2; 更 进一步 ,如 果 CT, CREA A 
的 。 因此, 上述 算法 在 大 约 8/xe 次 执行 循环 后 可 以 找到 logsT, ,每 次 循环 调用 两 次 A, 因 此 
该 算法 的 期 望 运行 时 间 是 OCT/ (xe))。 

情形 2: 现在 考虑 4 没 能 立即 输出 私 钥 的 情形 。 

Pn € TAA(g') HH Go Aa — sc 50) > me/4 

首先 用 下 述 算法 计算 g 的 乘法 阶 的 一 个 倍数 。 

(1) 选择 wE[0,S)。 

(2) 计算 I— g^? mod n. 

(3) 对 输入 I 运行 A。 

(4) 如 果 A 没 输出 满足 L。 二 o 一 sor 关 0 的 (cr) 从 (1) 重 新 开始 ;否则 输出 Los 

经 过 一 个 期 望 运行 时 间 OCT/ (xe)) ,得 到 Lo 满足 

gh = g^ = g'/I: — 1 mod n 

因此 ,L, 是 g 的 阶 的 一 个 小 于 A 十 更 的 倍数 。 更 进一步 ,可 以 丢弃 L。 小 于 B 的 非 g 之 阶 的 
因子 。 直 观 来 说 ,使 用 Pollard-rho 方 法 可 以 在 O(VB) 的 时 间 内 完成 这 件 事 。 但 如 果 需 要 


4 
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一 个 严格 的 证 明 , 试 除法 测试 可 以 在 OCB) 时 间 内 完成 这 件 事 。 最 后 得 到 L 满足 gm 一 1 
mod n,Lo/Ord(g) 不 含有 任何 小 于 B 的 素 因子 。 

现在 ,计算 以 g 为 底 的 离散 对 数 。 

(D 选择 rE (一 S,S) 。 

(2) iT I'— I; Xg' mod n, 

G) HA TZITA. 

(4) 如 果 A 不 输出 (c,r) ,从 步骤 (1) 重 新 开始 ;否则 输出 (c,r) 。 

得 到 卫 ,(c,r) 满 足 =g mod zz。 为 了 得 到 了 的 离散 对 数 , 解 等 式 c 一 rz 一 0 mod Lo. 
由 于 了 B>r',Lo/Ord(g) 不 含有 任何 小 于 B 的 素 因 子 , 设 d —gcd (r,Lo) 一 gcd (r,Ord(g)), 
SK (o/d — Cc/d) x —0 mod Lo/d) 仅 有 一 个 根 xo — (Go/d) X (r/d) mod Lo/d, 所 以 x= 
Zo 十 iLo/d mod Ly ,其 中 iE[0,d)。 因 此 满足 了 一 入 mod n 的 解 + 可 以 在 满足 4 二 r=<B 的 
解 中 寻找 。 当 然 可 以 使 用 穷 搜 索 方法 ,不 过 使 用 Baby-step Giant-step 算法 可 以 在 时 间 
OG/B) 内 完成 这 件 事 。 

最 后 ,在 时 间 OCT/ (xe) 十 VB) 内 可 得 到 满足 I, — g* mod n 的 s。。 剩 下 的 最 后 一 个 问 
FRE so 有 可 能 不 在 [0,S) 范 围 之 内 。 

在 sE[0,S) 的 条 件 下 ,4(8g") 输 出 (c,r) 并 且 上 述 算法 正好 输出 的 概率 大 于 xe/4, 在 
O(TV(xe) 十 VB) 内 得 到 %wE[0,S); 和 否则 可 以 对 输入 1— g' mod n 运行 算法 ,并 得 到 s 满足 
g'—I-—g mod n i s'#s, HAIE s —s ALi —s+so 都 是 g 之 阶 的 倍数 ,而 且 此 二 者 之 一 小 
于 Lo/2。 得 到 一 个 Lo 的 新 值 ,然后 可 以 重复 上 述 步 又。 随 着 L 的 减 小 ,最 终 能 够 计算 和 
在 [0,S) 范 围 之 内 的 离散 对 数 。 因 为 初始 Lo 值 的 规模 是 1A 十 @| ,所 以 上 述 过 程 重 复 次 数 
不 超过 |A 十 @| 。 最 后 该 算法 的 期 望 运 行 时 间 复 杂 度 就 是 OC(|A 十 B|(T/ (xe) 十 VB))。 

WMR we | n DAR n] ZEB ,那么 存在 整数 d 对 无 限 多 的 |n| 值 ,满足 x(|n|) 宇 1/1n|”。 更 进 
一 步 ,由 于 log (ln|) 二 ol(l11B|), 对 足够 大 的 |n| 有 1/B'<1/2|n|°. Wi, H51 9.1, 
PPTM(|n|)A 成 功 的 概率 es 之 1/6(e 一 L/B'/e 六 之 1/24, 它 的 平均 运行 时 间 T 小 于 4/ar< 
4|2a|l“rz。 最 后 ,如 果 B 是 多 项 式 量 级 ,可 以 得 到 一 个 计算 以 g 为 底 ,范围 在 [0,S) 之 内 的 离 
散 对 数 的 算法 。 

定理 9.6( 零 知识 性 ) ”如 果 1、B 都 是 多 项 式 量 级 的 ,并 且 ISB/A 是 可 忽略 的 ,那么 
GPS 识别 协议 就 是 统计 零 知 识 的 。 

证 明 描述 一 个 证 明 者 P 和 不 诚实 验证 者 V 之 间 通 信 的 一 个 多 项 式 时 间 模 拟 。 假 设 
不 诚实 验证 者 交 为 了 获得 有 关 s 的 信息 而 没有 随机 选择 “挑战 ?。 设 在 第 i 轮 识别 时 V 从 之 
前 与 的 交互 中 已 获得 的 数据 为 hist。 此 时 证 明 者 发 送 委托 x;,V( 有 可 能 用 到 hist 及 zi) 
从 随机 带 wv 选择 “挑战 ”c; Cr; ,hist,wv)。 

下 面 是 第 i 轮 识别 的 一 个 模拟 。 

(D 随机 选择 c:€ [0.S) Aly, € [6.A) -[LCB- DCSC D. AD. 

(2) if — g^ I* mod n. 

(3) 如 果 c; Gr, hist ox) Ac; 那么 回 到 (1) 尝 试 另 一 对 (cyi) s UBER E Gr; c; y o 

上 述 循环 的 期 望 执 行 次 数 为 B。 因 此 ,i 轮 上 述 模 拟 的 复杂 度 为 O(1B)。 下 面 来 证 明 上 
述 模 拟 产生 的 三 元 组 的 分 布 与 真正 识别 产生 的 三 元 组 的 分 布 是 统计 不 可 区 分 的 ,也 就 是 说 : 
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3, = DD] Pr (Gg. = Ge) — Pr (Gg) = (€.6,9)} 
apy FAI "Mr 


是 可 忽略 的 。 这 意味 着 即使 拥有 无 限 的 计算 能 力 ,这 两 个 分 布 也 不 会 被 任何 算法 区 分 开 ,最 
多 只 能 看 到 多 项 式 个 相同 分 布 的 三 元 组 "]。 

设 (e,p,7) 是 一 个 固定 的 三 元 组 ,现在 来 估算 一 下 在 一 轮 证 明和 一 轮 模拟 中 得 到 这 样 一 
个 三 元 组 的 概率 。 假 设 证 明 者 是 诚实 的 ,也 就 是 说 遵守 协议 。 则 


Pr {(zx,c,y)= Ge») Pr {a = g' AB = c(a.hist.og) Ay = r+ cs} 
wp r€[0,A) ca 

E i Pr{a = g'/IPAB = clashistswy) Ar = y — cs) 

reto A oy 
= 4 Prla = g’/P AB = cCa,hist,ey) AY — cs € [0,A)} 
w 
= Xe = g!/1) X Pr(8= cCashistsav)) X 8y — 6 € [0,A)) 
"y 


其 中 6 定义 为 68(true) 二 1,6(false) 二 0。 现 在 来 考虑 在 模拟 期 间 得 到 三 元 组 (a,B8,7) 的 概率 
Pet Gr 6,3) — Gi gy) ,这 里 ww 是 模拟 器 的 随机 带 。 这 个 条 件 概率 是 


pu 


{a = g/FAB—cAY— F | č = c(G?/T shist,wo)} 


FELPA) CELO, BD vo 


应 用 Bayes 法 则 ,此 概率 可 写成 以 下 形式 : 
{a = g’ /I AB = € = cla, histo) AY = y) 


Pr 
FELPA) EELO, Bwy 


(e = c(g? /T° ,histswy)} 


Pr 
FELDA c €[0.B) wy 


记 Q= 5) Pr{e =g" /I ,histsov))}, 则 前 述 分 数 的 分 母 为 


FELDA) ELB) "V 


EE 1 
¢ = cQ? /T histyor) = —— Q 
setas cippus dio di deci (A—®)B } 
因此 ， 
Pr {(z,cyy) = Gg.) 
L P (a—gj/PAB—e cisco Ay = 3) c — x 
cep B sete as (A—6) XB 
Ij r z — A-Ö 
Pr {a= g’/F AB = c(a.hist«og) Ay = y) X 
FELDA) wy Q 
1 x Er A-—® 
X Prta = g’/F NB = c(Cayhist,or)A7y = y) X ———- 
sean À— 0 ~ Q 
- GX a = g?/IP) X Prig = c(a;hist,oy2) x &(y € [®,A)) 
oy 
现在 来 计算 > )，。 
d i 


D= 


VELDA) BE [0.B) ag! / 


+ 23 Pr (Gc, y) = Gg.» 


es BYE O0, A) AV 


A ui m c(Cayhist,wr) } 一 Q Prip = c(ashist.wy)} 
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一 | 过 一 二 | X11 一 are (B = cCa;histsov) } 
E al YELDA) BELO, B) og’ /TB T ) 
二 1Q 一 4 e 
ATTA 
为 了 完成 证 明 , 还 需 对 Q 的 值 进行 估计 : 
Q= >) Pr(e—c(?/F shist,wy) } 


了 E[g,A)veE[0,B) "v 


=2 Pr {o} =>) le = c(G?/ E shistswy)) 


FELDA) EELO, B) 


设 了 是 任意 一 AMG 到 [0,B) 的 函数 。 为 了 计算 Q, 必 须 对 满足 On /T) = c 的 数 对 
(lc,y) EL0,B)X[@,A) 个 数 进行 估计 。 首 先 注意 到 如 果 f(g*/1) 二 c, 那 么 对 任意 满足 c 十 
KEL. BN kA f(g 人 /IT*) 二 c 关 c 十 k。 更 进一步 ,如 果 对 任意 的 kEL[ 一 c,B 一 c) ,都 
有 y 十 kSE[@B,A), 在 B 对 (c 十 k,y 十 kS) 中 有 且 仅 有 一 个 是 等 式 ftc k W 
解 。 因 此 ,可 以 把 数 对 (c,y) 的 集合 划分 为 A 一 $8 一 (B 一 1)S 个 子 集 , 其 中 每 个 子 集 恰 含有 
一 个 解 ; 也 可 划分 成 2CB 一 1)S 个 子 集 ,其 中 每 个 子 集 至 多 有 一 个 解 ,参见 图 9.6。 因 此 , 解 
的 总 数 N 满足 

A—26«.A—6—(B—DSxNx«(A—-60—(B—DS) -2(B—DS«A 
可 以 把 这 个 结果 应 用 到 任意 函数 矿 ,特别 地 ,应 用 到 把 c Cg? /I c hist iov) Fl Ce HERR 


起 来 的 那个 函数 。 因 为 >) Pr (ov) = 1. 所 以 可 推 知 Q 在 A 一 2 和 A 之 间 。 最 后 ,可 以 
“y 
得 到 


> Io AL. 1 2 = 20 -Q/A) <40/ A <48B/A 


这 就 证 明了 如 果 SB/A 是 可 忽略 的 ,那么 真正 的 分 布 与 模拟 的 分 布 之 间 是 统计 不 可 区 分 的 。 
为 了 完成 证 明 ,还 需要 说 明 当 执行 2 轮 模 拟 时 ,泄露 的 信息 量 增长 得 不 太 快 , 即 有 


2j, 一 > Pr (Cay) = Gicoy)) 


G8, € C1 FA" 
一 Pr ((a o8, Y) = Gic) 
Say 


其 中 i 表示 轮 的 标号 。 
已 经 证 明 这 个 量 的 上 界 当 /==1 时 ,是 4SB/A。 现 在 用 数学 归纳 法 来 证 明 这 个 量 的 上 界 
对 任意 1, 是 41SB/A。 用 条 件 概率 把 前 /一 1 轮 与 最 后 一 轮 分 开 。 记 = lapy) ,di 一 
(aise: syi) d= (Ti) Ci) Yi)o 
= 之 o |Pr {t;=d;, Yi€[1,1]}—Pr {t:=d;, V i€ [1.1]) | 
l Pr (t;=d;, ViE [1,1—1] }Pr (t,=d,/t;=d;, Yi€ [1,1—1] } 


pietia a | Pr (t =d;, Y i€ [1,1—1] }Pr {t,=d,/t;=d;, Y i€ [1,/-1]} 
应 用 下 列 的 常用 加 减 项 技巧 , 
|zXy—zXt| = [xy zt: —z| = |x(y -dÐ +t- z) | 


<z |y—t|+t|z—z| 


26s REREH 理论 与 实践 


(8-1)S 个 子 集 


Nt 非 解 


(8-1)S 个 子 集 


^ 
E 


y=4-1 


i 


图 9.6 满足 /(g’/1")=c 的 数 对 (ec,y)E[0,B)X[@ ,4) 个 数 估计 


可 以 得 到 的 上 界 为 


Pr {ti =d,/t; = d;i, Yi € [1,1—1]} 

> M (t —d/t—d.Vie SA 
Pr (t = d, Vi € [1./—1]) 

uu 一 Pr (t; ^ di, Vi € sed 


ET DSB ism, 
最 后 一 步 基 于 归纳 假设 和 第 一 步 的 结果 。 

总 之 ,如 果 1SB/A 是 可 忽略 的 ,1、B 是 多 项 式 量 级 的 .那么 GPS 识别 协议 就 是 统计 零 知 
识 的 。 
这 个 定理 的 一 个 结论 是 : 一 个 诚实 证 明 者 与 一 个 可 能 不 诚实 的 验证 者 之 间 的 通信 只 有 
在 B 是 |n| 的 多 项 式 量 级 的 情况 下 才 有 可 能 被 模拟 。 这 并 不 令 人 奇怪 ,因为 Schnoor 识别 
协议 也 有 同样 的 问题 。 
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定理 9.7( 诚 实验 证 者 零 知识 性 ) Al 是 多 项 式 量 级 的 并 且 !SB/A 是 可 忽略 的 , 则 GPS 
识别 协议 是 诚实 验证 者 统计 零 知 识 的 。 

最 后 简要 说 明 一 下 参数 的 选择 ,实际 上 这 些 参数 之 间 的 关系 可 从 协议 的 证 明 过 程 中 
得 出 。 

Q) n 的 选择 。 在 理论 分 析 中 ,没有 限制 的 可 能 取 值 ,只 是 把 安全 性 归结 为 计算 模 n 


离散 对 数 的 难度 。 注 意 到 如 果 知 道 n 的 因子 分 解 [[ pf , 那么 由 中 国 剩余 定理 ,计算 模 ? 


离散 对 数 可 归结 为 计算 模 上 每 一 个 p] 的 离散 对 数 。 因 此 ,关于 n 的 选择 应 遵循 以 下 原则 。 

QD 可 以 是 一 个 素数 ,如 果 素 数 模 的 规模 大 于 768b, 那 么 素数 模 的 离散 对 数 问题 可 以 
认为 是 困难 的 ;为 了 得 到 更 高 的 安全 性 ,可 以 在 实际 中 取 |n| 二 1024b。 

@n 也 可 以 是 一 个 合 数 。 为 了 防止 n 被 分 解 ,|n| 必 须 大 于 1024b。 进 一 步 ,n 的 素 因 
子 必须 具有 相近 的 规模 ,而 且 因 子 个 数 不 能 太 多 。 从 理论 角度 来 说 ,使 用 一 个 具有 非常 大 的 
素数 因子 的 模 数 可 以 把 GPS 方案 的 安全 性 同时 基于 离散 对 数 问题 和 因子 分 解 问题 ;从 实用 
角度 来 讲 ,1024b 的 模 数 就 足以 在 未 来 数 年 里 得 到 一 个 较 高 的 安全 水 平 。 

因此 在 实际 中 ,采用 一 个 以 下 选择 的 kbit 模 数 : 用 Miller-Rabin 算法 选取 两 个 k/2b 
的 素数 pig. n— pq KE MAR pa AR n. 

(2) g 的 选择 。 基 g 的 选择 必须 使 得 计算 离散 对 数 是 困难 的 。 因 此 , 模 数 一旦 选 定 ， 
8 就 必须 是 一 个 阶 数 很 大 的 元 素 。 在 许多 实际 应 用 中 ,选择 g = 2 并 不 减弱 安全 性 ,这 样 做 
的 优点 是 ,在 使 用 "平方 乘 ” 算 法 计算 模 求 过 时 ,开始 的 那些 平方 运算 无 需 做 模 约 简 ,而 且 乘 
8 的 运算 就 是 移 位 操作 ,至 多 其 后 跟着 一 个 减 n 的 操作 。 

CD S 的 选择 。S 的 选择 视 计 算 离散 对 数 算 法 的 复杂 度 而 定 , 比 如 Pollard-Lambda 算 
法 就 可 以 在 O(VS) 内 计算 出 离散 对 数 ,只 需 注意 |S| 至 少 要 大 于 160b, 

(4) B 的 选择 。B 的 选择 涉及 敌手 假冒 成 功 的 概率 。 期 望 的 安全 性 依赖 于 实际 应 用 ， 
1B|=32(1=1) 对 许多 识别 协议 来 说 就 已 经 足够 了 ,因为 这 保证 了 一 个 敌手 不 能 以 大 于 
2 “的 概率 来 假冒 一 个 用 户 ( 这 正 是 NESSIE 计划 建议 的 安全 水 平 ) 。 

(5) A 的 选择 。 当 参数 Ak 选 定 之 后 ,由 于 A/BS 必 须 足 够 大 以 保证 统计 零 知 识 特 
性 ,由 此 得 到 一 个 A 的 下 界 ,比如 可 以 取 |A| 宇 |S| 十 |B| 十 80。 


9.8 基于 身份 的 识别 协议 


Shamir 于 1984 年 提出 了 一 类 新 型 的 密码 方案 "2” ,这 类 方案 能 使 网 上 的 任何 对 用 户 无 
须 交换 私 钥 或 公 钥 、 无 需 保存 密 钥 簿 、 无 须 使 用 第 三 方 服务 就 可 进行 安全 的 通信 和 相互 验证 
签名 。 在 这 类 方案 中 ,假定 存在 一 个 可 信 的 密 钥 产生 中 心 , 该 中 心 的 主要 作用 是 给 每 一 个 第 
一 次 入 网 的 用 户 颁 发 一 个 个 人 化 的 Smart 卡 。 嵌 入 在 这 个 卡 中 的 信息 能 使 用 户 签名 和 加 
密 他 所 发 送 的 消息 ,并 且 能 使 用 户 用 一 个 完全 独立 的 方式 解密 和 验证 他 所 收 到 的 信息 。 

Shamir 的 基于 身份 的 密码 方案 仍然 是 一 类 公 钥 密码 方案 ,但 它 不 是 去 直接 生成 一 对 随 
机 的 公 钥 和 私 钥 ,而 是 由 用 户 选择 他 的 名 字 和 网 络 地 址 来 作为 公 钥 。 当 用 户 人 网 时 , 密 钥 产 
生 中 心 首先 对 用 户 进行 识别 。 如 果 接 纳 用 户 , 密 钥 产 生 中 心 就 为 该 用 户 以 Smart 卡 的 形式 
颁布 一 个 私 钥 。 于 是 , 当 一 个 网 上 用 户 想 与 另 一 个 用 户 通信 时 ,他 只 需 知道 对 方 的 姓名 和 地 
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址 就 行 了 。 这 种 方案 与 目前 使 用 的 邮政 系统 十 分 类 似 。 

当 用 户 A 想 给 用 户 B 发 送 一 个 消息 m 时 ,他 就 用 自己 的 Smart 卡 中 的 私 钥 对 消息 m 
签名 ,用 B 的 名 字 和 网 络 地 址 作为 密 钥 来 加 密 签名 和 消息 mr, 然 后 将 密 文 连同 A 的 名 字 和 
地 址 发 送 给 B。 当 B 收 到 消息 时 ,他 使 用 他 的 Smart 卡 中 的 私 钥 对 消息 进行 解密 ,最 后 用 
发 送 者 的 名 字 和 网 络 地 址 作为 密 钥 对 签名 进行 验证 。 

目前 基于 身份 的 算法 和 协议 有 很 多 。 本 节 仅 介绍 Shamir 的 基于 身份 的 数字 签名 算 
法 中, 以 及 Guillou-Quisquater 的 基于 身份 的 识别 协议 和 签名 算法 "9 。 


1. Shamir 的 基于 身份 的 数字 签名 算法 

该 算法 以 下 面 的 验证 条 件 为 基础 : sit” (mod n) ,其 中 m 为 消息 ,s,t 是 签名 ,i 是 
用 户 的 身份 ,n 是 两 个 大 素数 的 乘积 ,e 是 一 个 大 素数 ,f 是 一 个 单 向 函数 。 

参数 n、e 和 单 向 函数 f 由 密 钥 产生 中 心 生成 ,所 有 用 户 都 有 同样 的 n、e Af. HEAL 
可 以 公开 ,但 的 分 解 只 有 密 钥 产 生 中 心 知道 。 不 同 用 户 之 间 的 唯一 差别 就 是 与 用 户 身 份 i 
对 应 的 秘密 密 钥 g, 这 里 g'=ilmod n). g 可 由 密 钥 产 生 中 心 很 容易 地 计算 出 来 ,但 是 如 果 
RSA 体制 是 安全 的 ,那么 没有 别 的 人 能 求 出 i 关于 模 n e 次 根 。 

签名 者 A 对 消息 m 的 签名 过 程 如 下 。 

(1) 随机 选择 一 个 数 ~, 计 算 t= r mod n Ail f(t,m)。 

(2) 计算 s—gr/^" mod n. 

(3) A 对 消息 m 的 签名 为 (1,s)。 

接收 者 B 通过 下 式 来 验证 (1,5) 是 否 为 m 的 签名 : 


s = it!” (mod n) 


2. Guillou-Quisquater 的 基于 身份 的 识别 协议 

Guillou-Quisquater 的 基于 身份 的 识别 协议 是 由 Guillou-Quisquater 身份 识别 协议 转 
化 而 来 的 。 在 这 个 协议 中 ,TA 为 用 户 A 颁布 一 个 数 u,u 是 由 TA 用 加 密 指数 a 计算 的 
RSA 密 文 ,该 数 是 A 的 身份 ID 串 的 一 个 函数 ,而 无 须 为 用 户 A 颁发 证 书 。 参 数 的 选择 与 
Guillou-Quisquater 身份 识别 协议 的 一 样 ,这 里 ab=1 (mod p(z) ) 。 

TA 为 A 颁布 值 的 过 程 如 下 。 

CD TA 建立 A 的 身份 并 颁布 一 个 标识 串 IDA). 

(2) TA 计算 u— CH ODCA)) 7* mod n, JfH u 发 送 给 A。 
其 中 互 (，) 是 一 个 公开 的 Hash 函数 。 

Guillou-Quisquater 的 基于 身份 的 身份 识别 协议 的 识别 过 程 如 下 。 

(1) A 随机 选择 一 个 数 上 ,0 三 kn 一 1, 并 计算 y= k’ mod n, 

(2) A Æ IDOA y RŽ B. 

(3) 也 计算 v=HADA)). 

(4) B 选择 一 个 随机 数 r ,0<r<6b 一 1, 并 将 7 发送 给 A。 

(5) A TEE y= ku" mod n, 并 将 y 发 送 给 B。 

(6) B EARE y —v'y^ mod n 是 否 成 立 来 识别 A。 

v 是 由 公共 Hash MRA HA 的 ID 串 作 用 而 计算 出 的 。 为 了 执行 身份 识别 协议 ,A 
需要 知道 值 ,w 只 能 由 TA 计算 (假定 RSA 密码 算法 是 安全 的 ) 。 由 于 敌手 不 知道 x 值 ， 
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因而 他 无 法 假冒 A 向 B 证 实 身 份 。 


3. Guillou-Quisquater 的 基于 身份 的 签名 算法 

签名 者 A 选择 两 个 大 素数 p Iq BM n — pq, 并 选择 一 个 整数 e, 使 得 gcd Ce, 
9(n)) 二 1。 选 择 一 个 整数 JA,1 二 JA 二 n,gcd(Ja,n) 二 1, 将 JA MEA 的 身份 。J。 的 二 进 
制 表示 能 被 用 来 反映 A 的 某 些 个 人 信息 ,诸如 姓名 、 地 址 、 驾 驶 执照 号 等 。A 按 下 列 步骤 计 
TE a— (x 0"* mod n. 

(OD 计算 Ix! mod n, 

(2) 343% di =e"! mod (p—1),d; =e"! mod (q—D. 

(3) 计算 ai — (J 40^ mod p.a; — (J 4! )*: mod q. 

(4). 由 中 国 剩余 定理 找到 同 余 式 方程 组 a=a (mod p), a=a: (mod 9g) 的 一 个 解 a。 

和 A 公开 n、e、J。, 保 密 a, 另 外 还 选择 并 公开 一 个 Hash 函数 H. 

签名 者 A 对 消息 m 的 签名 过 程 如 下 。 

CD 随机 选择 一 个 整数 上 ,计算 r= k* mod n. 

(2) 计算 1=H(m,r). 

(3) 计算 s= ka' mod n. 

(4) A 对 m 的 签名 是 对 (1,s) 。 

接收 者 B 验证 签名 的 过 程 如 下 。 

COD 获得 A 的 公 钥 n、e、J。。 

(2) 计算 w=sJh mod n Al l'=H(m,u), 

(3) 验证 是 否 有 l= WR S L9) B 接收 A 的 签名 ;否则 拒绝 。 


9.9 小 结 


关于 身份 识别 协议 安全 模型 的 研究 可 参阅 文献 [14] 一 [16] ,文献 L[17] 也 做 了 一 些 介 绍 。 
将 身份 识别 协议 用 于 计算 机 网 络 中 的 研究 最 早 是 在 20 世纪 70 年 代 提出 的 C9 。 本 章 写 作 
过 程 中 主要 参考 了 文献 [17] 中 的 第 9 36, 

Schnorr 身份 识别 协议 和 Guillou-Quisquater 身份 识别 协议 ,在 合理 计算 假设 下 的 安全 
性 证 明 可 参阅 文献 [19] 。Feige-Fiat-Shamir 身份 识别 协议 中 也 是 一 个 广泛 使 用 的 方案 , 利 
用 零 知识 技术 可 以 证 明 该 方案 的 安全 性 。 由 身份 识别 协议 构造 签名 算法 的 方法 是 由 Fiat 
和 Shamir 提出 的 中, 他们 也 提出 了 一 个 基于 身份 的 身份 识别 协议 。 另 外 ,我 们 在 这 一 领域 
也 取得 了 一 些 研究 成 果 , 感 兴趣 的 读者 可 参阅 文献 [20] 。 

关于 身份 识别 协议 综述 可 参阅 文献 [21] 和 [22] 。 
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在 Kerckhoff 假设 下 ,一 个 密码 系统 的 安全 性 取决 于 对 密 钥 的 保护 ,而 不 是 对 系统 或 硬 
件 自 身 的 保护 。 密 钥 的 保密 和 安全 管理 在 信息 系统 安全 中 是 极为 重要 的 。 密 钥 管理 包括 密 
钥 的 产生 、 存 储 、 装 入 ,分 发 ,保护 、 销 毁 及 保密 等 内 容 , 其 中 分 发 和 存储 可 能 是 最 棘手 的 问 
题 。 密 钥 管 理 不 仅 影响 系统 的 安全 性 ,而 且 涉 及 系统 的 可 靠 性 、 有 效 性 和 经 济 性 。 当 然 , 密 
钥 管 理 过 程 中 也 不 可 能 避免 物理 上 、 人 事 上 、 法 规 上 等 一 些 问 题 。 本 章 主要 介绍 密 钥 管理 中 
的 密 钥 分 发 问题 。 

我 们 已 经 知道 ,相对 于 对 称 密码 算法 来 说 , 公 钥 密码 算法 的 优势 在 于 无 需 交换 密 钥 就 可 
以 建立 安全 信道 。 但 遗憾 的 是 ,大 多 数 公 钥 密 码 算法 (如 RSA) 都 比 对 称 密码 算法 (如 AES) 
速度 慢 。 因 此 ,在 实际 应 用 中 对 称 密码 算法 通常 用 于 加 密 “长 ”消息 ,这 样 就 仍然 需要 解决 密 
钥 建 立 问题 。 

在 密 钥 交 换 协 议 中 ,假定 环境 是 一 个 拥有 个 用 户 的 不 安全 的 网 络 ,这 些 用 户 的 名 称 唯 
一 ,有 时 也 称 为 参与 者 、 参 与 方 等 ,他 们 的 最 终 目标 是 获得 一 个 共享 秘密 。 在 某 些 协 议 中 ,有 
可 能 还 需 使 用 一 个 可 信和 权威 ( 记 为 TA), 它 负责 诸如 验证 用 户 身 份 、 颁 发 用 户 证 书 、 为 用 户 
选择 并 传送 密 钥 等 事宜 ,根据 不 同情 况 ,这 个 可 信和 权威 分 别称 之 为 可 信 第 三 方 、 认 证 服务 器 、 
密 钥 分 发 中 心 . 密 钥 交换 中 心 等 ;还 有 可 能 存在 未 授权 的 第 三 方 ,在 不 同 的 环境 中 可 以 有 不 
FRAP WRF ABRE Biik AANER. 

密 钥 交换 协议 (也 称 密 钥 建 立 协议 ) 大 致 可 分 为 以 下 两 种 。 

(OD 密 钥 分 配 协议 。 密 钥 分 配 协议 是 指 协议 的 一 个 参与 方 可 以 建立 或 者 获得 一 个 秘密 
值 ,并 将 此 秘密 值 安全 地 分 发 给 协议 的 其 他 参与 方 。 

(2) 密 钥 协 商 协议 。 密 钥 协 商 协议 是 指 协议 的 两 个 或 者 多 个 参与 方 共同 提供 信息 , 推 
导出 一 个 共享 密 钥 ,在 多 数 情 况 下 要 求 参 与 协议 的 任何 一 方 不 能 预先 确定 这 个 共享 密 钥 。 

密 钥 交换 协议 最 终 使 得 协议 的 参与 者 产生 一 个 共享 秘密 ,该 秘密 通常 用 来 推导 一 个 会 
话 密 钥 。 在 理想 状态 下 ,会 话 密 钥 是 一 个 临时 秘密 , 即 会 话 密 钥 的 有 效 期 会 被 限制 在 一 小 段 
时 间 内 ,如 一 次 单独 的 通信 连接 或 者 会 话 , 当 会 话 结束 时 就 把 该 会 话 密 钥 丢 弃 。 会 话 密 钥 是 
非常 有 用 的 ,这 是 因为 以 下 几 点 原因 。 

(1) 会 话 密 钥 限制 了 敌手 可 以 得 到 使 用 一 个 特定 密 钥 加 密 的 密 文 的 数量 ,因为 会 话 密 
钥 是 定期 变化 的 。 

(2) 只 要 协议 设计 良好 ,它们 可 以 限制 密 钥 泄露 事件 带 来 的 暴露 问题 ,可 以 用 于 泄露 的 
可 能 性 较 高 的 “危险 ”环境 中 。 

(3) 使 用 会 话 密 钥 常常 能 减少 每 个 用 户 需 要 安全 存储 的 长 期 信息 的 数量 ,因为 只 有 在 
需要 的 时 候 一 对 用 户 才 会 生成 会 话 密 钥 。 

(4) 在 不 同 的 通信 会 话 或 者 应 用 过 程 中 建立 的 密 钥 相互 独立 。 

在 实际 应 用 中 ,为 了 实现 某 个 具体 目标 而 要 求 密 钥 交换 协议 满足 一 些 特殊 的 安全 性 质 。 
下 面 是 一 些 常见 的 安全 性 质 。 
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OD 已 知 会 话 密 钥 安 全 性 。 在 某 些 密 钥 交换 协议 中 ,即使 攻击 者 知道 某 些 使 用 过 的 会 
话 密 钥 , 密 钥 交换 协议 仍然 可 以 使 得 协议 参与 者 使 用 该 协议 建立 新 的 会 话 密 钥 。 

(2) 前 向 安全 性 。 在 某 些 密 钥 交换 协议 中 , 某 个 时 段 使 用 的 秘密 信息 暴露 ,并 不 能 暴露 
以 前 建立 的 会 话 密 钥 。 

(3) 不 能 使 用 泄露 的 身份 信息 冒充 其 他 合法 用 户 。 在 某 些 需要 密 钥 确认 ( 密 钥 确认 是 
指使 得 一 个 参与 者 能 够 确认 另 一 个 参与 者 实际 已 经 拥有 某 一 个 特定 的 密 钥 ) 的 密 钥 交换 协 
议 中 ,如 果 某 个 攻击 者 得 到 其 中 一 个 用 户 A 的 秘密 信息 ,他 不 能 使 用 该 信息 冒充 另 一 个 合 
法 用 户 B 来 与 其 他 参与 者 完成 密 钥 交 换 协议 。 

CD 未 知 会 话 密 钥 共享 。 在 某 些 密 钥 交 换 协议 中 ,一 个 用 户 A 不 能 使 得 他 与 一 个 用 户 
C 建立 了 会 话 密 钥 ,而 用 户 C 却 认为 他 是 与 用 户 B 建立 了 会 话 密 钥 。 

(5) 密 钥 控制 。 在 某 些 密 钥 交 换 协 议 中 ,协议 要 求 任 何 一 个 协议 参与 者 都 不 能 控制 最 
终 产 生 的 会 话 密 钥 ,也 不 能 使 得 最 终 产生 的 会 话 密 钥 一 定 出 现在 某 个 预先 设置 的 小 范围 内 。 

(6) 密 钥 的 新 鲜 性 。 在 某 些 密 钥 交换 协议 中 ,要 求 协议 的 参与 者 可 以 检验 最 终 得 到 的 
会 话 密 钥 是 一 个 新 的 密 钥 ,而 不 是 以 前 使 用 过 的 密 钥 。 


10.1 密 钥 分 配 协议 


密 钥 分 配 协议 可 以 基于 对 称 密 码 算法 ,也 可 以 基于 公 钥 密码 算法 来 实现 。 本 节 将 从 两 
个 方面 介绍 一 些 基 本 的 、 典 型 的 密 钥 分 配 协议 ,其 中 一 些 可 能 是 不 安全 的 。 值 得 一 提 的 是 ， 
可 以 基于 量子 物理 实现 密 钥 分 配 , 最 典型 的 量子 密 钥 分 配 协议 是 Charles Bennett 和 Gilles 
Brassard 于 1984 年 提出 的 量子 密码 方案 ,通常 称 为 BB84 方案 。 


10.1.1 基于 对 称 密码 算法 的 密 钥 分 配 协议 


l. 无 可 信 权 威 的 密 钥 分 配 协议 

在 使 用 对 称 密码 算法 实现 密 钥 分 配 协议 时 ,如 果 系 统 中 不 存在 认证 服务 器 ,可 能 需要 协 
议 的 参与 者 一 开始 就 共享 一 个 长 期 秘密 信息 , 称 为 长 期 密 钥 。 基 于 对 称 密码 算法 的 点 对 点 
密 钥 分 配 协 议 趾 利用 了 一 个 参与 双方 预先 共享 的 对 称 密 钥 KK。 这 个 对 称 密 钥 可 以 通过 一 个 
安全 信道 分 发 ,也 可 以 使 用 一 个 密 钥 预 分 配 协议 得 到 。 

协议 10.1 简单 的 点 对 点 密 钥 分 配 协议 (基于 对 称 密码 算法 ED 

参数 设置 : 

JAP ARI B 预先 共享 一 个 对 称 密 钥 K ,并 选 定 一 个 对 称 密码 算法 E. 

具体 步骤 : 

CD A 选择 会 话 密 钥 k, 然 后 用 共享 的 对 称 密 钥 K 进行 加 密 , 即 计算 Ex (k) 并 将 其 发 送 
4 B. 

(2) B 将 Er(k) 解 密 后 得 到 会 话 密 钥 。 

点 对 点 密 钥 分 配 协议 不 提供 前 向 安全 性 ,一 旦 对 称 密 钥 K 泄露 ,协议 就 完全 失败 了 。 

协议 10. 1 使 用 了 对 称 密码 算法 王 , 这 个 密 钥 分 配 协议 也 可 以 通过 使 用 单 向 函数 来 
实现 。 
协议 10.2 简单 的 点 对 点 密 钥 分 配 协议 (基于 单 向 函数 ED. 
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参数 设置 

用 户 A 和 B 预先 共享 一 个 长 期 密 钥 K ,并 选 定 一 个 单 向 函数 日。 

具体 步骤 : 

CD A 选择 一 个 随机 数 ,然后 将 7 发 送 给 B. 

(D A MB 的 会 话 密 钥 可 以 通过 计算 一 个 以 ~ 为 变量 的 单 向 函数 来 实现 ,如 计算 二 
H(K,r), 

使 用 对 称 密 码 算法 实现 密 钥 分 配 协议 的 另 一 个 实例 是 Andrew RPC HN. 3x 4 
议 有 两 个 相互 独立 的 组 成 部 分 : 在 前 半 部 分 中 ,两 个 用 户 通过 共享 的 密 钥 K 完成 一 次 握 
手 ;在 后 半 部 分 中 ,一 个 用 户 选 择 会 话 密 钥 ,并 将 其 发 送 给 另 一 个 用 户 。 

协议 10.3 Andrew RPC 协议 。 

参数 设置 : 

用 户 A 和 B 预先 共享 一 个 长 期 密 钥 K ,并 选 定 一 个 对 称 密码 算法 EE。 

具体 步骤 : 

CD A 选择 一 个 随机 数 ~A ,将 其 用 长 期 密 钥 K 加 密 , 即 计 算 Ex (ra) 并 将 其 发 送 给 B. 

(2) B fti Ex (rs) 得 到 rs, 将 其 数值 加 1 后 ,连同 自己 选择 的 随机 数 rs 一 起 用 加 
密 , 即 计算 Ex (ra 十 1,rs) 并 将 其 发 送 给 A. 

G) A 解密 Er (ra 十 1,re) 得 到 rs ,将 其 数值 加 11, 用 加密 , 即 计 算 Ex (rs 十 1) 并 将 其 
发 送 给 B。 

(4) B 选取 一 个 会 话 密 钥 k 和 一 个 新 的 随机 数 6, 将 它们 用 K 加 密 , 即 计算 Ex Ck ors) 
并 将 其 发 送 给 A。 

协议 10. 3 存在 一 个 明显 缺陷 , 即 A 并 不 能 确认 他 得 到 的 会 话 密 钥 是 否 是 新 鲜 的 。 而 
且 , 协 议 的 前 三 步 与 第 (4) 步 相互 独立 ,容易 受到 攻击 。 例 如 ,攻击 者 可 以 将 第 (4) 步 中 B 发 
送 给 A 的 消息 用 前 面 的 某 个 消息 替换 。 

在 使 用 对 称 密码 算法 实现 密 钥 分 配 协议 时 ,如 果 系 统 中 不 存在 服务 器 ,也 可 以 不 需要 协 
议 的 参与 者 共享 一 个 长 期 秘密 信息 ,如 Shamir 无 密 钥 协议 中 。Shamir 无 密 钥 协议 是 一 种 
只 使 用 对 称 密码 算法 的 密 钥 分 配 协议 , 它 在 既 不 要 求 共享 密 钥 也 不 要 求 公 钥 的 情况 下 ,允许 
在 公开 信道 上 建立 密 钥 。 这 个 协议 只 能 抵抗 被 动 攻击 ,并 且 不 能 提供 认证 。 

协议 10.4 Shamir 无 密 钥 协 议 。 

参数 设置 : 

CD. 选择 并 公布 一 个 公用 素数 p ,使 得 以 p 为 模 的 离散 对 数 是 计算 上 不 可 行 的 。 

(2) FAP A 和 B 分 别 随 机 选择 秘密 数 a 和 65, 其 中 1<a, bp 一 2, 均 与 p 一 1 互 素 。 然 
后 分 别 计算 c= a7! mod (p— D fl d= b™' mod (p 一 1)。 

具体 步骤 : 

CD A 随机 选择 一 个 密 钥 大 ,计算 k* mod p 并 将 其 发 送 给 B。 

(2) B 收 到 消息 后 ,计算 (k*)* mod p ,并 将 其 发 送 给 A。 

G) A 将 收 到 的 值 进行 c 次 模 p 宕 指数 运算 ,从 而 “消除 ?以 前 的 指数 运算 ,得 到 k* mod 
,并 将 其 发 送 给 B. 

(4) B 将 收 到 的 值 进行 d 次 模 p 徊 指数 运算 ,从 而 “消除 ”以 前 的 指数 运算 ,得 到 会 话 密 
Bk. 
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2. 具有 可 信 权 威 的 密 钥 分 配 协议 

在 使 用 对 称 密码 算法 实现 密 钥 分 配 协议 时 ,系统 中 也 可 以 存在 认证 服务 器 。 此 时 ,协议 
包含 两 个 通信 参与 方 A 和 B, 以 及 一 个 可 信服 务 器 TA ,假定 A.B 与 服务 器 TA 分 别 共享 
一 个 预先 设 定 的 长 期 密 钥 KA Ks. 

在 有 服务 器 的 、 使 用 对 称 密码 算法 实现 的 密 钥 分 配 协议 中 ,Needham-Schroeder 共享 密 
钥 协 议 外 是 比较 有 名 的 一 个 。 自 从 1978 年 提出 以 来 ,Needham-Schroeder 协议 是 许多 基于 
服务 器 的 认证 和 密 钥 分 配 协议 的 基础 。 

协议 10.5 Needham-Schroeder 共享 密 钥 协议 。 

参数 设置 : 

用 户 A 和 服务 器 TA 的 共享 密 钥 是 Ks ,用 户 B 和 服务 器 TA 的 共享 密 钥 是 Ks A.B 
和 TA 所 使 用 的 对 称 密码 算法 的 加 密 变 换 和 解密 变换 分 别 记 为 EE 和 D。ID(A) 和 ID(B) 分 
别 是 A AB 的 标识 符 。 

具体 步骤 : 

CD A 选择 随机 数 ~A, 并 将 ID(A) IDB) HI ra 发 送 给 TA. 

(2) TA 随机 选择 一 个 会 话 密 钥 KK ,然后 计算 t= Ex, CK || ID(A))( 称 之 为 给 B 的 票 
HDA yı — Ex, Gra || IDCB) || K || 60 ,并 将 y: 发 送 给 A。 

(3) A 使 用 他 的 密 钥 天 解密 y ,得 到 KK 和 ts。 然 后 A 将 te 发 送 给 B。 

(4) B 使 用 他 的 密 钥 Ks 解密 如 ,得 到 天 。 然 后 B 选择 一 个 随机 数 re 并 计算 ys 二 
Ek (rs). BE y; 发 送 给 A, 

(5) A 使 用 会 话 密 钥 K 解密 y* 得 到 ra。 然后 A 计算 ys — Ex (rs 一 1) 并 将 ys 发 送 
给 B。 
在 协议 10.5 中 还 需要 一 些 有 效 性 检验 ,这 里 的 有 效 性 检验 是 指 验证 解密 的 数据 具有 正 
确 的 格式 ,并 且 包 含 了 预期 的 信息 。 注 意 到 协议 10. 5 没有 使 用 消息 认证 码 。 这 些 有 效 性 检 
验 过 程 如 下 。 

COD 当 A 解密 > 时 ,他 检验 明文 Di, (yi) 是 否 具有 以 下 格式 : 

Dx, Cy = ra || IDB) || K || ts, 对 于 某 个 K 和 ts 

(2) “BRR y, 时 ,他 检查 明文 

Dr(ys) — rs —1l 
如 果 这 一 条 件 成 立 , 则 B“ 接 受 ”; 否 则 B“ 拒 绝 ”。 

注 : 有 时 用 “A” 表 示 “ID(A)”, 用 “B” 表 示 “ID(B)”。 

协议 10. 5 的 密 钥 确认 是 由 A 利用 新 的 会 话 密 钥 加 密 挑战 rs 一 1 来 实现 的 ,目的 是 为 了 
fk Bf A 确实 拥有 了 会 话 密 钥 K。 

1981 年 ,Denning 和 Sacco 发 现 了 针对 协议 10. 5 的 一 种 重 放 攻击 中 ,现在 来 描述 一 下 
这 种 攻击 。 假 设 敌 手 O 记 录 了 在 A MB 之 间 进 行 的 一 次 协议 10. 5 的 会 话 , 记 为 S, 并 以 某 
种 方式 得 到 了 会 话 S 的 会 话 密 钥 KK。 这 种 攻击 模型 称 为 已 知 会 话 密 钥 攻 击 。 然 后 O 发 起 
一 次 新 的 与 B 之 间 进行 的 协议 10.5 的 会 话 , 记 为 S ,从 会 话 S' 的 第 3 个 流程 开始 ,发 送 之 
前 使 用 过 的 票据 te 给 B: 


Hi HARRAK 2 


O B 


te = Ex, CK || AD 
Ex (rb) 


Ek(re—1) 


注意 到 , 当 B 回复 Ex (rp) 之 后 ,O 能 够 使 用 已 知 的 密 钥 KK 进行 解密 ,然后 减 去 1, 并 对 
结果 进行 加 密 。 在 会 话 S' 的 最 后 一 个 流程 中 ,Ex (rs 一 1) 被 发 送 给 B。B 解密 这 条 消息 并 
“接受 ”该 会 话 。 

下 面 分 析 一 下 这 个 攻击 的 后 果 。 在 O 5B 进行 的 会 话 S' 的 最 后 ,B 认为 他 产生 了 一 个 
“新 ”的 会 话 密 钥 KFA K 是 与 A 共享 的 ,这 是 因为 在 票据 ts 中 出 现 的 是 ID(A)。O 知道 
这 个 密 钥 , 但 是 A 未 必 知 道 ,因为 在 与 B 进行 的 前 一 个 会 话 S 结束 之 后 ,A 可 能 已 经 扔 掉 了 
BAK. MU ,在 这 个 攻击 中 B 从 两 个 方面 被 欺骗 了 。 

(1) B 所 期 望 的 对 等 方 并 不 知道 在 会 话 S' 中 分 配 的 密 钥 K 。 

(2) 会 话 S' 的 密 钥 被 除了 B 所 期 望 的 对 等 方 之 外 的 其 他 人 知道 , 即 为 O 所 知 。 

在 有 认证 服务 器 的 情况 下 ,使 用 比较 广泛 的 密 钥 分 配 协议 是 Kerberos B iX", 
Kerberos 协议 成 为 了 事实 上 的 计算 机 网 络 认证 标准 之 一 ,该 协议 以 Needham-Schroeder 协 
议 为 基础 ,用 时 间 惟 替代 了 原 协议 中 的 挑战 -响应 部 分 。 下 面 给 出 该 协议 的 第 5 版 本 的 简化 
形式 。 

协议 10.6 简化 的 Kerberos 协议 。 

参数 设置 ; 

用 户 A 和 服务 器 TA 的 共享 密 钥 是 K, 用 户 B 和 服务 器 TA 的 共享 密 钥 是 Ke L 为 
使 用 期 限 ,time Hy FY TB BK. AB 和 TA. 所 使 用 的 对 称 密码 算法 的 加 密 变换 和 解密 变换 分 别 
iiy EAD. IDCAXfI ID BAH A AB 的 标识 符 。 

有 具体 步骤 : 

(OD A 选择 一 个 随机 数 ~A ,并 将 ID(A) IDC BD Al ry 发 送 给 TA。 

(2) TA 随机 选择 一 个 会 话 密 钥 K 和 一 个 有 效 期 (或 者 使 用 期 限 )L。 然 后 计算 给 B 的 
票据 tp 二 Ex, CK || IDA) || Df yı — Ex, (ra || IDB) || K || L). TA H te Ay REAA. 

(3) A 使 用 他 的 密 钥 K 解密 y% ,得 到 天。 然后 A 确定 当前 时 间 time 并 计算 y: 一 
Ex (ID(A) || time)。 最 后 ,A 将 ts 和 ye 发 送 给 B。 

(4) B 使 用 他 的 密 钥 Ks 解密，, 得 到 kK。 他 还 要 使 用 密 钥 K 解密 y 得 到 time。 然 后 
B 计 算 ys 二 Ek (time 十 1) ,最 后 ,也 将 ys 发 送 给 A。 

与 Needham-Schroeder 协议 一 样 ,在 Kerberos 协议 中 需要 某 些 有 效 性 检验 。 这 些 检验 
过 程 如 下 。 

COD 当 A 解密 > 时 ,他 检验 明文 Dr,(y1) 是 否 具有 以 下 格式 。 

Dy, Gy) rà || IDB) || K || 工 ,对 于 某 个 K 和 LIL。 如 果 这 一 条 件 不 满足 , 则 A“ 拒绝” 并 
取消 当前 的 会 话 。 

(2) BRR y: 和 te 时 ,他 查看 明文 Dx (y,) 是 否 具有 以 下 格式 : Dx (2) — IDCAD | 
time, 以 及 明文 Dx, (ts) 是 否 为 以 下 格式 : Dr, (ts) 一 K || IDA) | 工 ,其 中 IDA) 在 两 个 明 
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文中 是 一 样 的 ,并 且 time<L. dn Axe PET ,那么 BYEZ” BM B“ 拒 绝 ”。 

G) 当 A 解密 y; 时 ,他 检查 Dk(ys) 一 time 十 1。 如 果 这 一 条 件 成 立 , 则 A“ 接 受 ”; 否则 
A“ 拒 绝 ”。 

下 面 对 协 议 10.6 的 流程 再 做 一 些 解释 。 

当 A 向 TA 发 送 会 话 密 钥 的 请 求 之 后 ,TA 随机 产生 一 个 新 的 会 话 密 钥 KK。 同 时 ,TA 
指定 一 个 使 用 期 限 工 ,在 这 个 期 限 内 K 是 有 效 的 。 所 有 这 些 信息 在 发 送 给 A 之 前 都 被 
加 密 。 

A 使 用 他 自己 的 密 钥 解密 y1 ,从 而 得 到 K 和 工 。 他 需要 检查 当前 时 间 在 该 密 钥 的 使 用 
期 限 之 内 ,并 且 y». 包含 了 A 的 随机 挑战 ra。 他 也 要 检验 y, 包含 了 ID(B), 其 中 B 是 他 所 
期 望 的 对 等 通信 方 。 这 些 检验 防止 O 重 放 TA 在 以 前 的 会 话 中 可 能 传送 的 “| 旧 ” 的 yio 

接 下 来 ,A 传递 ts 给 B。 同 时 ,A 使 用 新 的 会 话 密 钥 K 加 密 当前 时 间 time 和 ID(A), 然 
后 把 所 生成 的 密 文 y 发 送 给 B。 

?4 B 接收 到 A 发 来 的 te 和 ys 之 后 ,他 解密 ts 得 到 KK、L 和 ID(A)。 然 后 他 使 用 新 的 
会 话 密 钥 K 解密 ys ,并 验证 从 如 Al yo 中 解密 的 ID(A) 是 一 样 的 。 这 使 得 B 确信 在 ts 中 所 
加 密 的 会 话 密 钥 与 用 于 ye 加 密 的 密 钥 是 相同 的 。 

最 后 ,B 使 用 新 的 会 话 密 钥 K 加 密 time 十 1, 并 把 加 密 结果 返回 给 A。 当 A 接收 到 消息 
ys 之 后 ,他 使 用 密 钥 K 解密 并 验证 其 结果 为 time 十 1。 这 使 得 A 确信 会 话 密 钥 K 已 经 成 功 
地 传送 给 了 了 ,因为 在 产生 消息 v. 时 需要 K, 

有 效 期 工 的 目的 在 于 防止 主动 敌手 存储 “ 旧 ” 消 息 并 在 以 后 某 个 时 间 重 新 发 送 , 就 像 针 
对 协议 10. 5 的 Denning-Sacco 攻击 那样 。Kerberos 的 缺陷 之 一 在 于 网 络 中 所 有 的 用 户 需 
要 一 个 同步 的 时 钟 ,因为 它 使 用 了 当前 时 间 来 确定 一 个 会 话 密 钥 K 的 有 效 性 。 在 实际 中 ， 
要 提供 完美 的 同步 性 是 很 困难 的 ,所 以 必须 允许 某 些 可 变 的 时 间 。 

在 ISO/IEC 11770 一 2 标准 中 ,也 提供 了 基于 服务 器 的 密 钥 分 配 协议 上 。 

协议 10.7 ISO/IEC 11770—2 基于 服务 器 的 密 钥 分 配 协议 。 

参数 设置 ; 

用 户 A 和 服务 器 TA 共享 对 称 密 钥 Ks ,用 户 B 和 服务 器 TA 共享 对 称 密 钥 Ky. EJ 
一 个 对 称 密码 算法 。 

具体 步骤 : 

COD A 选择 一 个 随机 数 na ,并 将 其 发 送 给 B。 

(2) B 选择 一 个 随机 数 ns, 连 同 从 A 得 到 的 随机 数 zA KAP A 的 标识 符 , 以 及 一 个 随机 
选择 的 会 话 密 钥 ,一 起 用 B 与 服务 器 TA 共享 的 密 钥 进行 加 密 , 即 计算 Er (ns, nas A, 
k) 并 将 其 发 送 给 TA. 

(3) TA 用 其 与 B 共享 的 密 钥 解密 数据 ,得 到 两 个 随机 数 、A 的 标识 符 及 会 话 密 钥 。 
TA 将 第 一 个 随机 数 连 同 A 的 标识 符 用 TA 与 B 共享 的 密 钥 加 密 , 即 计算 Ex, (ze，A) ;将 
第 二 个 随机 数 、 会 话 密 钥 以 及 B 的 标识 符 用 TA 与 A 共享 的 密 钥 加 密 , 即 计算 Ex, Oas 
k, B) ,然后 将 两 部 分 数据 一 起 发 送 给 B. 

(4) B 收 到 消息 ,用 其 与 TA 共享 的 密 钥 解密 第 一 部 分 消息 ,得 到 一 个 随机 数 和 A 的 标 
识 符 。B 验证 得 到 的 随机 数 是 否 与 自己 发 送 的 随机 数 一 致 ,如 果 一 致 ,他 把 第 二 部 分 数据 
Ex, (na，k，B) 发 送 给 A, 
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(5) A 用 其 与 TA 共享 的 密 钥 解密 消息 ,得 到 一 个 随机 数 、 会 话 密 钥 上 和 的 标识 符 。 
A 验证 得 到 的 随机 数 是 否 与 自己 发 送 的 随机 数 一 致 ,如 果 一 致 ,保存 会 话 密 钥 ko 

Bellare 和 Rogaway 于 1995 年 提出 了 一 个 在 某 些 假设 下 可 证 明 安 全 的 密 钥 分 配 协 
议 中 ,下 面 就 来 描述 这 一 协议 。 

协议 10.8 Bellare-Rogaway 密 钥 分 配 协议 。 

参数 设置 : 

用 户 A 和 服务 器 TA 的 共享 密 钥 是 Ky ,用户 B 和 服务 器 TA 的 共享 密 钥 是 Ks8。 选 定 
HEBA E H MACHR, IDAM IDB) AIE A AB 的 身份 标识 符 。 

具体 步骤 : 

(OD A 选择 一 个 随机 数 ~A ,并 将 ID(A)、ID(B) 和 rs 发 送 给 B. 

(2) B 选择 一 个 随机 数 ra ,并 将 ID(A) .IDCB) ra AI rs 发 送 给 TA。 

(3) TA 随机 选择 一 个 会 话 密 钥 玉 。 然 后 计算 

ys = (Ex, CK) , MAC; CIDCA) || IDCB) || rs || Ex, CO) 
和 

ya = (Ex, (K),MAC, AD(B) || IDA) || r || Ex, C) 
TA 将 ys 发 送 给 B,ya 发 送 给 A。 

在 协议 10.8 中 ,A AB 都 选择 随机 挑战 并 发 送 给 TA。 于 是 ,在 TA 分 发 会 话 密 钥 之 
前 B 参 与 了 协议 。TA 发 送 给 A 的 信息 包括 以 下 内 容 。 

CL) 一 个 会 话 密 钥 ( 使 用 A 的 秘密 密 钥 加 密 ) 。 

(2) 一 个 关于 加 密 的 会 话 密 钥 .A 和 B 的 身份 以 及 A 的 挑战 的 MAC。 

发 送 给 B 的 信息 也 是 类 似 的 。 

如 果 各 自 的 MAC 是 有 效 的 ,那么 A 和 B“ 接 受 ”( 注 意 到 这 些 MAC 是 用 TA 所 知道 的 
秘密 的 MAC 密 钥 计 算出 来 的 )。 例 如 , 当 B 接收 到 加 密 的 会 话 密 钥 ye 及 MACys,: 时 ,他 
验证 

yez = MACs AD(A) || IDCB) || rs || yea) 

注意 到 ,这 个 协议 中 没有 提供 密 钥 确认 。 例 如 , 当 A 接受 时 ,他 并 不 知道 B 是 否 已 经 接 
受 , 或 者 甚至 不 知道 B 是 否 收 到 TA 发 送 的 消息 。 当 A 接受 时 ,只 是 意味 着 他 收 到 了 预期 
的 信息 ,并 且 该 信息 是 有 效 的 (或 者 更 确切 地 说 ,MAC 是 有 效 的 )。 在 A 看 来 , 当 他 接受 时 ， 
他 相信 自己 收 到 了 来 自 TA 的 一 个 新 的 会 话 密 钥 。 此 外 ,由 于 这 个 会 话 密 钥 使 用 A 159954] 
进行 了 加 密 ,A 确信 其 他 任何 人 都 不 能 从 他 所 接收 到 的 信息 中 计算 出 会 话 密 钥 K。 当 然 ,B 
也 应 该 收 到 了 同一 个 会 话 密 钥 的 一 份 加 密 。 实 际 上 ,A 并 不 知道 这 件 事 是 否 已 经 发 生 ,但 是 
我 们 将 说 明 A 可 以 确信 除了 B 之 外 任何 人 都 不 能 计算 出 新 的 会 话 密 钥 。 换 句 话说, 我们 已 
经 从 密 钥 分 配 协议 中 去 掉 了 密 钥 确认 (单方 的 或 者 双方 的 ) 这 一 目标 。 取 而 代 之 的 是 一 个 有 
些 弱 化 的 (但 仍然 有 用 的 ) 目 标 , 在 这 个 目标 中 ,从 协议 中 已 经 “接受 ”的 参与 方 的 角度 来 看 ， 
除了 他 们 预期 的 对 等 方 ,其 他 任何 人 都 不 能 计算 出 新 的 会 话 密 钥 。 

敌手 的 目标 是 导致 一 个 诚实 的 参与 方 在 某 种 情形 下 “接受 ”会 话 ,但 是 该 参与 方 的 对 等 
方 之 外 的 某 个 人 知道 该 会 话 密 钥 的 值 。 例 如 ,假设 诚实 的 “接受 ?会话 ,并 且 他 的 对 等 方 是 
B。 称 敌手 O 达到 了 其 目的 ,如 果 他 (O) 可 以 计算 出 会 话 密 钥 ,或 者 其 他 某 个 网 络 用 户 ( 如 
C) 能 够 计算 出 会 话 密 钥 。 另 一 方面 ,如 果 A 是 唯一 能 够 计算 出 会 话 密 钥 的 网 络 用 户 , 则 不 


280 REREH 32 $6 25 S0 PR. 


考虑 O 的 这 种 攻击 。 在 这 种 情况 下 ,不 能 计算 出 会 话 密 钥 ,但 是 其 他 任何 人 也 不 能 计算 
(除了 AD. 

非 正 式 地 讲 , 可 以 定义 安全 的 密 钥 分 配 协议 为 满足 下 面 性 质 的 密 钥 分 配 协议 : 如 果 一 
个 参与 方 在 一 次 会 话 中 “接受 ”, 那 么 该 参与 方 的 对 等 方 之 外 的 其 他 人 知道 会 话 密 钥 的 概率 
很 小 。 

下 面 来 说 明 协 议 10. 8 是 安全 的 。 首 先 给 出 几 个 合理 的 假设 ,包括 假设 A、B 和 TA 都 
是 诚实 的 ,协议 中 所 使 用 的 加 密 算法 和 MAC 算法 是 安全 的 ,秘密 密 钥 只 有 预期 的 所 有 者 才 
知道 ,并 且 随 机 挑战 是 使 用 真 随机 数 生成 器 产生 的 。 最 后 ,假设 TA 使 用 真 随机 数 生成 器 来 
产生 会 话 密 钥 。 

考虑 O 可 以 实施 的 不 同 的 攻击 方式 。 对 于 每 一 种 可 能 的 方式 ,可 以 证 明 : 除了 很 小 的 
概率 之 外 ,O 都 不 会 成 功 。 这 些 可 能 性 并 不 是 互相 排斥 的 。 

(1) O 是 被 动 敌 手 。 

(2) O 是 主动 敌手 ,A 在 协议 中 是 一 个 合法 的 参与 方 。O 可 以 冒充 B 或 者 TA, 并 且 O 
可 以 拦截 和 修改 在 协议 中 发 送 的 消息 。 

(3) O 是 主动 敌手 ,B 在 协议 中 是 一 个 合法 的 参与 方 。O 可 以 冒充 A 或 者 TA, 并 且 O 
可 以 拦截 或 者 修改 在 协议 中 发 送 的 消息 。 

下 面 将 针对 上 面 的 每 一 种 攻击 情形 ,讨论 协议 将 产生 的 结果 。 

(1) 如 果 敌 手 是 被 动 的 ,那么 在 A 和 B 作为 两 个 参与 方 的 任何 会 话 中 ,他 们 都 会 输出 
“接受 ”。 更 进一步 ,他 们 都 能 够 解密 出 同一 个 会 话 密 钥 K。 其 他 任何 人 (包括 O) 都 不 能 计 
算 KK, 因 为 加 密 算法 是 安全 的 。 

(2) 假设 A 在 协议 中 是 一 个 合法 的 参与 方 。 他 希望 得 到 一 个 只 有 B. 与 他 才 知 道 的 新 
的 会 话 密 钥 。 但 是 ,A 不 知道 他 是 否 的 确 在 与 B 进行 通信 ,因为 O 可 能 冒充 B。 当 A 收 到 
消息 yA 时 ,他 检验 MAC 是 否 有 效 。 这 个 MAC 包括 了 A 的 随机 挑战 ra、A AB 的 身份 标 
识 ,以 及 加 了 密 的 会 话 密 钥 Ex、(K)。 这 使 得 A 确信 该 MAC 是 由 TA 新 近 计 算出 来 的 , 因 
为 TA 是 除了 A 之 外 唯一 知道 MACA 密 钥 的 人 。 此 外 ,随机 挑战 rs 防止 了 重 放 以 前 会 话 
中 的 MAC。 最 后 ,在 MAC 中 包括 Ek、(K) 防 止 了 敌手 把 TA 选择 的 会 话 密 钥 替换 为 其 他 
的 东西 。 因 此 ,A 可 以 确信 B( 他 预期 的 对 等 方 ) 是 唯一 的 可 以 解密 出 会 话 密 钥 K 的 其 他 用 
户 , 即 使 O 在 当前 的 会 话 中 冒充 B。 

(3) 假设 B 在 协议 中 是 一 个 合法 的 参与 方 。 他 相信 可 以 得 到 一 个 只 有 A 和 他 自己 才 
知道 的 新 的 会 话 密 钥 。 但 是 ,B 不 知道 他 是 否 的 确 在 与 A 进行 通信 ,因为 O 可 能 冒充 A。 
当 B 接收 到 消息 ys 时 ,他 查看 MAC 是 否 有 效 。 这 个 MAC 包括 了 B 的 随机 挑战 ra、A 和 
B 的 身份 标识 ,以 及 加 了 密 的 会 话 密 钥 EK, (K)。 这 使 得 B 确信 该 MAC 是 由 TA 新 近 计算 
出 来 的 ,因为 TA 是 除了 B 之 外 唯一 知道 MAC, 密 钥 的 人 。 此 外 ,随机 挑战 rs 防止 了 重 放 
以 前 会 话 中 的 MAC。 最 后 ,在 MAC 中 包括 Ex, CO. 防止 了 敌手 把 TA 选择 的 会 话 密 钥 蔡 
换 为 其 他 的 东西 。 因 此 ,B 可 以 确信 A( 他 预期 的 对 等 方 ) 是 唯一 的 可 以 解密 出 会 话 密 钥 K 
的 其 他 用 户 , 即 使 O 在 当前 的 会 话 中 冒充 A。 


10.1.2 基于 公 钥 密码 算法 的 密 钥 分 配 协议 
使 用 公 钥 密码 算法 的 密 钥 分 配 协议 一 般 是 基于 公 钥 加 密 来 实现 的 ,一 个 参与 方 选择 一 


个 会 话 密 钥 ,然后 使 用 另 一 方 的 公 钥 将 其 加 密 , 并 发 送 给 另 一 方 。 基 于 公 钥 密码 算法 的 协议 
一 般 都 能 提供 认证 功能 。 

基于 公 钥 密码 算法 的 密 钥 分 配 协议 中 ,最 简单 的 协议 就 是 单 步 密 钥 分 配 协议 。 

协议 10.9 单 步 密 钥 分 配 协议 。 

参数 设置 : 

HP A 预先 拥有 用 户 B 的 加 密 公 钥 。 

具体 步骤 : 

A 选 定 会 话 密 钥 上 ,然后 用 B 的 公 钥 加 密 , 即 计算 Es(k) 并 发 送 给 B. 

使 用 协议 10. 9,A 不 能 获得 B 的 实体 认证 ,但 是 可 以 获得 密 钥 认证 , 即 除 了 B 之 外 , 任 
何人 不 能 恢复 会 话 密 钥 ko 

只 使 用 公 钥 加 密 算法 的 密 钥 分 配 协 议 , 也 可 以 提供 相互 的 实体 认证 和 相互 的 密 钥 认证 ， 
一 个 例子 就 是 Needham-Schroeder 公 钥 协议 中 。 

协议 10.10 Needham-Schroeder 公 钥 协议 。 

参数 设置 : 

用 户 A 拥有 用 户 B 的 加 密 公 钥 ,用 户 B 拥 有 用 户 A 的 加 密 公 钥 。 

具体 步 又: 

CD A 选取 一 个 随机 数 ns ,用 B 的 公 钥 加 密 , 即 计算 Ea(zA，A) 并 将 其 发 送 给 卫 。 

(2) B 用 自己 的 私 钥 解 密 消息 ,得 到 随机 数 ns 和 A 的 标识 符 。B 选取 一 个 随机 数 ns 
连同 ns 一 起 用 A 的 公 钥 加 密 , 即 计算 E、(na，ns) 并 发 送 给 A. 

(3) A 用 自己 的 私 钥 解 密 消息 ,得 到 两 个 随机 数 , 并 检查 第 一 个 随机 数 是 否 与 自己 发 送 
的 随机 数 一 致 。 如 果 一 致 ,A 将 第 二 个 随机 数 用 B 的 公 钥 加 密 , 即 计 算 Es(ns) 并 将 其 发 送 
A B. 

(4) B 用 自己 的 私 钥 解 密 消息 ,得 到 一 个 随机 数 , 并 检查 该 随机 数 是 否 与 自己 发 送 的 随 
机 数 一 致 

使 用 协议 10. 10,A AB 的 会 话 密 钥 可 以 通过 计算 一 个 以 ns 和 ns 为 变量 的 单 向 函数 来 
实现 。 这 个 协议 提出 之 后 ,人 们 对 这 个 协议 一 直 很 感 兴趣 。 在 1996 年 ,Lowe 提出 了 对 这 
个 协议 的 一 个 攻击 方法 中 : 在 A 发 起 与 C 的 Needham-Schroeder 公 钥 协议 时 ,C 可 以 冒充 
A 5 B 完成 Needham-Schroeder 公 钥 协议 。 

在 密 钥 分 配 协议 中 ,除了 要 保证 密 钥 信息 的 机 密 性 外 ,有 时 还 需要 信息 源 认证 ,此 时 一 
般 要 同时 使 用 加 密 技术 和 签名 技术 ,加 密 技术 提供 机 密 性 ,签名 技术 提供 信息 源 认证 。 在 现 
有 的 使 用 公 钥 密码 技术 的 密 钥 分 配 协议 中 ,大 部 分 协议 都 同时 使 用 加 密 技术 和 签名 技术 。 

协议 10.11 ISO/IEC 11770—3 密 钥 分 配 协议 吕 。 

参数 设置 : 

用 户 A 拥有 用 户 B 的 加 密 公 钥 ,用户 B 拥 有 用 户 A 的 加 密 公 钥 。 

具体 步骤 : 

COD A 选择 一 个 随机 数 n。 ,并 将 其 发 送 给 B. 

(2) B 收 到 消息 后 ,首先 选择 一 个 随机 数 ns 以 及 一 个 会 话 密 钥 k。 然 后 B 用 A HOA 
将 自己 的 标识 符 和 自己 选取 的 会 话 密 钥 k 加 密 , 即 计算 E(B, ko ;随后 将 A 的 标识 符 以 及 
两 个 随机 数 连 同 加 密 后 的 信息 一 起 用 自己 的 私 钥 签 名 , 即 计 算 Sigs(A, nas ng, Ea(B,k)); 
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最 后 ,B 将 签名 的 信息 以 及 签名 的 结果 一 起 发 送 给 A 。 

O) A 收 到 消息 后 ,用 B 的 公 钥 验证 签名 ,并 检查 第 一 个 随机 数 是 否 与 自己 发 送 的 随机 
数 一 致 。 如 果 通 过 验证 ,并 且 随 机 数 与 自己 发 送 的 一 致 ,A 接受 会 话 密 钥 上 。 

在 这 个 协议 中 ,A 使 用 随机 数 ns 来 保证 密 钥 的 新 鲜 性 及 对 B 的 实体 认证 。 只 要 BR 
可 信和 的 ,A 就 可 以 认为 得 到 的 密 钥 是 安全 的 ,并 完成 密 钥 认 证 。 对 于 B, 可 以 保证 密 钥 是 安 
全 的 ,但 是 不 能 对 用 户 进行 实体 认证 。 在 该 协议 中 ,随机 数 ns 是 可 选 的 。 如 果 删 除 这 一 项 ， 
Shoup 证 明 该 协议 在 他 的 模拟 模型 下 仍然 是 安全 的 ""] 。 

在 另 一 个 比较 常用 的 X. 509 标准 "中 ,也 同时 使 用 加 密 技术 和 签名 技术 来 实现 密 钥 分 
配 协议 。 

协议 10.12 X.509 三 向 认证 协议 。 

参数 设置 : 

每 个 用 户 都 拥有 自己 的 用 于 签名 和 加 密 的 公 、 私 钥 对 ,并 且 每 个 用 户 预先 获得 另 一 个 用 
户 的 加 密 公 钥 。 

具体 步骤 : 

(1) A 首先 选取 一 个 随机 数 n ,一 个 会 话 密 钥 kss ,并 获得 时 间 戳 TA。 然 后 ,A 将 会 话 
PEGA ka H B 的 公 钥 加 密 , 随 后 将 时 间 稚 TA、 随 机 数 na、B 的 标识 符 以 及 加 密 的 信息 一 起 用 
自己 的 私 钥 签 名 , 即 计算 Sig CT» nas B, Es(kas))。 最 后 ,A 将 签名 的 信息 及 签名 的 结 
果 一 起 发 送 给 B. 

(2) B 收 到 消息 后 ,首先 用 A 的 公 钥 验证 签名 。 如 果 通 过 验证 ,B 选取 一 个 随机 数 ns、 
一 个 会 话 密 钥 koa ,并 获得 时 间 戳 Ts。 然 后 ,B 将 会 话 密 钥 kss 用 A 的 公 钥 加 密 ,随后 将 时 
i] Rl. Ta、 随机 数 ns A 的 标识 符 、A 选择 的 随机 数 xA 及 加 密 的 信息 一 起 用 自己 的 私 钥 签 名 ， 
即 计算 Siga (Te，nsp，A，na，Ea (kepa))。 最 后 ,B 将 签名 的 信息 及 签名 的 结果 一 起 发 送 
给 A。 

(3) A 收 到 消息 后 ,首先 用 B 的 公 钥 验证 签名 ,并 检查 第 二 个 随机 数 是 否 与 自己 发 送 的 
随机 数 一 致 。 如 果 通 过 验证 ,并 且 随 机 数 与 自己 发 送 的 一 致 ,A 将 接收 到 的 消息 中 的 第 一 个 
随机 数 以 及 B 的 标识 符 一 起 用 自己 的 私 钥 签 名 , 即 计算 Siga Om, BD. HR A 将 签名 的 信 
息 及 签名 的 结果 一 起 发 送 给 B。 

(4) B 收 到 消息 后 ,首先 用 A 的 公 钥 验证 签名 ,并 检查 随机 数 是 否 与 自己 发 送 的 随机 数 
一 致 。 

在 这 个 协议 中 ,最 终 的 会 话 密 钥 可 以 通过 计算 一 个 以 Kan Al kes 为 变量 的 单 向 函数 得 
到 。 由 于 最 终 会 话 密 钥 由 两 个 参与 方 共同 决定 ,这 个 协议 应 该 认为 是 密 钥 协 商 协议 ,而 不 是 
密 钥 分 配 协议 。 协 议 最 终 得 到 的 会 话 密 钥 对 于 A 和 B 来 说 ,都 保证 是 新 鲜 的 。 如 果 协 议 只 
执行 第 一 步 ,得 到 的 是 X. 509 单 向 认证 协议 。 在 X. 509 单 向 认证 协议 中 ,会 话 密 钥 由 一 个 
参与 方 选 定 , 然 后 发 送 给 另 一 个 参与 方 ,是 一 个 密 钥 分 配 协 议 。 这 个 密 钥 分 配 协议 ,会 话 密 
钥 只 是 对 参与 方 A 来 说 是 新 鲜 的 。 

除了 上 面 两 个 标准 外 ,同时 使 用 加 密 技术 和 签名 技术 的 密 钥 分 配 协议 还 有 很 多 ,再 举 一 
个 例子 : Blake-Wilson 和 Menezes 可 证 明 安 全 密 钥 分 配 协议 2 。 

协议 10.13 Blake-Wilson 和 Menezes 可 证 明 安全 密 钥 分 配 协议 。 

参数 设置 : 
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JHP A 拥有 用 户 B 的 加 密 公 钥 ,用 户 B 拥有 用 户 A 的 加 密 公 钥 。 

具体 步 又: 

CD A 选择 一 个 随机 数 zA ,连同 自己 的 标识 符 一 起 发 送 给 B. 

(2) B 收 到 消息 后 ,首先 选择 一 个 随机 数 mm 、 一 个 会 话 密 钥 上 。 然 后 ,也 将 自己 的 标识 
符 和 会 话 密 钥 一 起 用 A 的 公 钥 加 密 , 随 后 将 B 的 标识 符 、A 的 标识 符 、 自 己 选择 的 随机 数 
ns、 接 收 到 的 随机 数 np 及 加 密 的 信息 一 起 用 自己 的 私 钥 签名 , 即 计算 Sign (B, A, ngs nas 
E,(B, k))。 最 后 ,B 将 签名 的 信息 及 签名 的 结果 一 起 发 送 给 A 。 

(3) A 收 到 消息 后 ,首先 用 B 的 公 钥 验证 签名 ,并 检查 第 二 个 随机 数 是 否 与 自己 发 送 的 
随机 数 一 致 。 如 果 通 过 验证 ,并 且 随 机 数 与 自己 发 送 的 一 致 ,A 将 A 的 标识 符 、B 的 标识 符 
和 接收 到 消息 中 的 第 一 个 随机 数 一 起 用 自己 的 私 钥 签 名 , 即 计算 Sig CA. B, ns)。 最 后 ,A 
将 签名 的 信息 及 签名 的 结果 一 起 发 送 给 卫 。 

(4) B 收 到 消息 后 ,用 A 的 公 钥 验证 签名 ,并 检查 随机 数 是 否 与 自己 发 送 的 随机 数 一 致 

这 个 协议 在 Bellare-Rogaway 模型 下 可 证 明 是 安全 的 。 

使 用 公 钥 密码 技术 的 密 钥 分 配 协议 中 ,还 有 一 些 协议 ,除了 使 用 公 钥 加 密 技术 和 数字 签 
名 技术 外 ,还 使 用 了 对 称 加 密 技 术 , 如 Beller-Yacobi Bx? 。 

协议 10.14  Beller-Yacobi 协议 。 

参数 设置 : 

每 个 用 户 都 拥有 自己 的 用 于 签名 和 加 密 的 公 、 私 钥 对 。E 是 对 称 密码 算法 。 

具体 步骤 : 

(1) A 将 自己 的 标识 符 连 同 自 己 的 公 钥 一 起 发 送 给 B。 

(2) B 收 到 消息 后 ,选取 一 个 随机 的 会 话 密 钥 ,将 这 个 会 话 密 钥 k 用 A 的 公 钥 加 密 ， 
即 计算 Ex Ck) FRE A. 

(3) A 收 到 消息 后 ,首先 用 自己 的 私 钥 解密 消息 ,得 到 会 话 密 钥 ,然后 A 选取 一 个 随 
MR na ,用 会 话 密 钥 将 这 个 随机 数 加 密 , 即 计算 Ex na ) 并 发 送 给 B. 

(4) B 收 到 消息 后 ,首先 用 会 话 密 钥 k 解密 消息 得 到 随机 数 nA ,并 用 自己 的 私 钥 对 随 
机 数 na 签名 。 然 后 ,B 将 自己 的 标识 符 、 自 己 的 公 钥 、 自 己 的 证 书 及 签名 的 结果 一 起 用 会 话 
密 钥 加 密 , 即 计算 E, CB» Ky, Cert D). Sigs (na)) 并 发 送 给 A. 

(5) A 收 到 消息 后 ,首先 用 会 话 密 钥 k 解密 消息 ,得 到 B 的 标识 符 、B 的 公 钥 、B 的 证 书 
UR BUH ACRE MANES. AA B 的 公 钥 验证 签名 信息 的 正确 性 。 

这 个 协议 的 独特 之 处 是 协议 双方 可 以 使 用 不 同 的 公 钥 系统 ,如 果 一 方 的 计算 能 力 有 限 ， 
可 以 使 用 需要 计算 资源 较 小 的 算法 。 后 来 ,Boyd 和 Mathuria 发 现 了 这 个 协议 的 一 个 潜在 
攻击 方法 "9 ,一 个 攻击 者 可 以 冒充 某 个 用 户 与 男 一 个 用 户 建立 会 话 密 钥 。 


10.2. 密 钥 协商 协议 


密 钥 协商 协议 大 部 分 使 用 公 钥 密码 算法 来 实现 ,也 有 少 部 分 使 用 对 称 密码 算法 来 实现 ， 
一 般 需要 一 个 密 钥 预 分 配 协议 。 密 钥 预 分 配 协议 是 提供 共享 密 钥 的 一 种 方法 ,该 方法 在 初 
始 阶段 由 一 个 可 信服 务 器 为 用 户 生 成 并 分 发 秘密 信息 ,以 使 任何 一 对 用 户 可 以 随后 计算 其 
他 所 有 人 (服务 器 除外 ) 不 知道 的 共享 密 钥 。 使 用 密 钥 预 分 配方 法 的 协议 严格 上 讲 并 不 能 称 
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为 密 钥 协商 协议 ,但 是 ,这 类 协议 与 静态 的 Diffie-Hellman 协议 类 似 ,一 般 情况 下 就 把 这 类 
协议 也 视 为 密 钥 协商 协议 。 

基于 公 钥 密码 算法 的 密 钥 协商 协议 的 研究 成 果 相 当 丰 富 。 本 节 只 介绍 一 些 比较 基本 的 
密 钥 协商 协议 ,这些 协议 大 部 分 是 以 Diffie-Hellman 密 钥 协商 协议 为 基础 的 。 而 对 于 基于 
身份 的 密 钥 协商 协议 、 基 于 口令 的 密 钥 协 商 协议 、 群 组 密 钥 协商 协议 和 器 域 密 钥 协商 协议 ， 
将 在 随后 的 几 节 中 介绍 。 


10.2.1 Diffie-Hellman 密 钥 预 分 配 协议 


Diffie-Hellman 密 钥 预 分 配 协议 05 是 10. 2. 4 小 节 将 要 介绍 的 Diffie-Hellman 密 钥 协 
商 协议 的 一 种 修改 。 该 协议 在 假定 与 离散 对 数 问题 相关 的 一 个 问题 是 难处 理 的 情况 下 是 计 
算 安全 的 。 

下 面 仅 描述 在 Z, 上 的 一 个 协议 ,p 是 一 个 素数 。 不 过 ,该 协议 可 在 计算 离散 对 数 问题 
时 难处 理 的 任何 有 限 群 上 实现 。 

协议 10.15 Diffie-Hellman 密 钥 预 分 配 协议 。 

参数 设置 : 

假定 “ FEZ, 的 一 个 生成 元 (也 称 本 原 元 ) ,网 络 中 的 任何 用 户 都 知道 训 和 ev 的 值 。 用 
ID(U) 表 示 网 络 中 的 用 户 U 的 某 些 识别 信息 ,诸如 姓名 、E-mail 地 址 .电话 号 码 或 别 的 有 关 
信息 。 每 个 用 户 U 有 一 个 秘密 指数 au(0 和 au 科 如 一 2) 和 一 个 相应 的 公 钥 bu 二 a mod p. 

可 信 中 心 TA 有 一 个 签名 算法 ,该 签名 算法 的 公开 验证 算法 记 为 Verra ,秘密 签名 算法 
记 为 Sigrs。 根 据 该 协议 ,在 签名 消息 之 前 ,总 先 将 消息 用 一 个 公开 的 Hash 函数 杂凑 。 但 
为 了 简单 起 见 ,这 里 将 略 去 这 一 步 。 

当 一 个 用 户 U 入 网 时 ,可 信 中 心 TA 需 给 他 颁发 一 个 证 书 (Certificate) 。 用 户 U 的 证 
书 为 : CU)=ADU) bu Sigra ADU) ,oo))。 可 信 中 心 无 需 知道 au 的 值 。 证 书 可 存储 
在 一 个 公开 的 数据 库 中 ,也 可 由 用 户 自己 存储 。 网 络 中 的 任何 人 能 验证 可 信 中 心 对 证 书 的 
签名 。Diffie-Hellman 密 钥 预 分 配 协议 的 目的 是 使 通信 双方 建立 共同 的 密 钥 。 

具体 步骤 : 

(1) U 将 他 的 证 书 C(UD) 发 送 给 V。 

(2) V 验证 U 的 证 书 并 使 用 他 自己 的 秘密 值 av 及 从 U 的 证 书 中 获得 的 公开 值 bu 计算 
by —a*v'* mod 力 ,从 而 得 到 kuvo 

G) V 将 他 的 证 书 C(V) 发 送 给 U。 

(D U 验证 V 的 证 书 并 使 用 他 自己 的 秘密 值 au 及 从 V 的 证 书 中 获得 的 公开 值 5y ,计算 
bw —a*v'v mod 力 , 从 而 得 到 kuvo 

关于 Diffie-Hellman 的 密 钥 预 分 配 协议 的 安全 性 ,要 考虑 对 它 的 几 种 攻击 。 如 果 敌 手 
发 起 的 是 主动 攻击 ,企图 自 改 U 的 证 书 中 的 消息 pu ,那么 他 难以 通过 对 TA 签名 的 验证 。 
如 果 敌 手 发 起 的 被 动 攻击 ,企图 计算 kuv ,一 种 办 法 是 求 出 au ,从 而 得 到 Eu.v 一 2 mod p, 
但 求 au 要 计算 离散 对 数 问题 , 按 假设 这 是 难 问题 。 实 际 上 , ku.v= bgv mod p. BA bus 
by pa KR ku y RHA Diffie-Hellman 问题 ,敌手 被 动 攻 击 能 否 成 功 等 价 于 Diffie Hellman 
问题 能 否 求解 。 人 们 猜测 解 Diffie-Hellman 问题 的 任何 算法 也 可 用 来 解 离散 对 数 问题 。 但 
至 今 这 个 猜测 还 未 得 到 证 明 。 虽 然 不 能 精确 地 说 Diffie-Hellman 问题 有 多 难 , 但 可 以 将 这 
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个 问题 和 第 2 章 介 绍 的 ElGamal 加 密 算 法 的 安全 性 联系 起 来 。 

定理 10.1 破译 ElGamal 加 密 算 法 等 价 于 解 Diffie-Hellman 问题 。 

证 明 设 ElGamal 加 密 算 法 的 秘密 密 钥 为 a, AHH B— a? mod p.p Ma. HF p fla 
与 Diffie-Hellman 问题 中 的 p 和 a 相同 。 

对 消息 TE26 的 加 密 过 程 如 下 。 

随机 选择 一 个 数 k € Zp E, (x, k) =(y1 y) 3X HE yi =a* mod p, ys 二 XB* mod p, 

解密 过 程 为 : =D ,ye) 一 yy) mod pii» € Z; o 

假定 有 一 个 算法 A,A 能 解 Diffie-Hellman 问题 ,并 给 定 一 个 用 ElGamal 加 密 算法 加 密 
HELO y). É p.a、yt 和 8B 作为 算法 A 的 输入 , 则 获得 A(p,a,y1,B) 二 A(p,asa*,a") 
—a mod p=B* mod p, WREX C ,y ) 对 应 的 明文 可 由 下 式 容易 求 出 : wy. (9077 
mod p, 

反之 ,假定 有 一 个 算法 B.B 能 完成 EIGamal 加 密 算 法 的 解密 过 程 。 也 就 是 说 ,如 果 将 
psa BnF y HE BALA IB BER m BCOpsas Bi yi y m ys (On "^ 27! mod p。 现 在 
对 任何 YE Z; ,利用 算法 也 可 以 计算 出 ys : BC pas By D army ys 
mod p。 


10.2.2 Blom 密 钥 预 分 配 协议 


假定 有 一 个 拥有 个 用 户 的 网 络 , 首 先 给 出 一 个 “平凡 的 ”无 条 件 安全 的 密 钥 预 分 配 协 
议 。 对 每 对 用 户 {U,V},TA 选择 一 个 随机 的 密 钥 Ku.v 二 Kv.u 并 把 它 通过 “离线 ”的 安全 信 
道 传送 给 U 和 Y, 即 密 钥 的 传输 不 在 网 络 上 进行 ,因为 网 络 是 不 安全 的 。 遗 憾 的 是 ,该 协议 


中 的 每 个 用 户 必须 存储 n—1 个 密 钥 ,而 且 TA 需要 安全 地 传送 总 共 (”) 个 密 铀 ,这 就 是 人 


们 通常 所 说 的 n^ 问题 。 即 使 较 小 的 网 络 , 这 个 代价 都 高 得 惊人 ,所 以 这 不 是 一 个 实用 的 解 
决 办 法 。 因 此 , 尽 可 能 减少 需要 传输 和 存储 的 信息 数量 ,并 且 仍 然 使 得 每 对 用 户 U 和 V 能 
够 独立 地 计算 一 个 秘密 的 密 钥 Ku.v 是 很 有 意义 的 。 下 面 将 要 介绍 的 Blom 密 钥 预 分 配 协 
议 5 就 是 一 个 可 以 满足 这 些 要求 的 优美 协议 。 

这 里 简单 地 讨论 一 下 在 无 条 件 安全 的 密 钥 预 分 配 协议 研究 中 使 用 的 安全 模型 。 假 定 
TA 向 nn 个 网 络 用 户 安全 地 分 发 秘密 信息 。 敌 手 可 以 收买 至 多 包括 k 个 用 户 的 用 户 子 集 ， 
并 且 得 到 其 所 有 的 秘密 信息 ,其 中 是 预先 指定 的 安全 参数 。 政 手 的 目标 是 确定 一 对 未 被 
收买 的 用 户 的 秘密 的 长 期 密 钥 , 即 LL 密 钥 。Blom 密 钥 预 分 配 协议 是 无 条 件 安全 地 抵抗 这 
类 敌手 的 密 钥 预 分 配 协议 。 

每 对 用 户 U 和 V 期 望 能 够 计算 出 一 个 密 钥 Kv,v 王 Kv.u。 所 以 ,这 里 的 安全 要 求 是 : 任 
何 与 {U,V} 不 相交 的 至 多 包括 k 个 用 户 的 集合 都 不 能 确定 有 关 Kv,v 的 任何 信息 (这 里 所 说 
的 是 指 无 条 件 安全 性 ) 。 

在 Blom 密 钥 预 分 配 协 议 中 , 密 钥 取 自 于 有 限 域 Z,, 其 中 pan BRK. TA 通过 一 个 
安全 信道 向 每 个 用 户 发 送 十 1 个 Z, 中 的 元 素 (与 本 节 开 头 介绍 的 “平凡 的 ” 密 钥 预 分 配 协 
议 中 的 n 一 1 个 元 素 相 对 ) ,TA 所 传送 的 信息 数量 与 是 无 关 的 。 

首先 描述 Blom 密 钥 预 分 配 协议 当 k—1 时 的 特殊 情况 。 这 时 ,TA 通过 一 个 安全 信道 
向 每 个 用 户 发 送 两 个 Z, 中 的 元 素 。 要 达到 的 安全 目标 是 任何 单个 的 用 户 ,比如 说 W, 不 能 
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确定 有 关 Ku,v 的 任何 信息 ,只 要 WU,V。 

协议 10.16 Blom 密 钥 预 分 配 协议 (k= 二 1)。 

参数 设置 : 

TA 公开 一 个 素数 p, 每 个 用 户 U 公布 一 个 元 素 ru€ 2,, 不 同 用 户 的 ru 互 不 相同 。 

具体 步骤 : 

(1) TA 秘密 地 选择 3 个 随机 元 素 a,5,cE 2Z,( 未 必 不 同 ) ,并 构造 下 述 对 称 多 项 式 ， 

fixy) =at+bl(a+y)+ecry mod p 

(2) TA 为 每 个 用 户 U 计算 多 项 式 gu(z) 二 f(r,ru) mod pray thx FHKE 
道 把 eo C BIKA U 3X HB au 一 a 十 bru mod prby=bt+cry mod p. 

G) WR U M V 想 通 信 ,U TEE K vv — go GO V ETE K vo — gv (ru), 于 是 他 们 拥有 
了 共同 的 密 钥 

Kuv = Kyu = f(Grosry) =atbGut+ry) +erury mod p 

协议 10.16 的 一 个 重要 性 质 是 多 项 式 了 是 对 称 的 , 即 对 于 所 有 的 ry, fy) =f, 
Zz)。 这 一 性 质保 证 了 gu ry) — gv Cru), HELA U 和 可 以 在 协议 的 第 (3) 步 计算 出 相同 的 
密 钥 。 

现在 证 明 : 没有 一 个 用 户 能 确定 另 两 个 用 户 所 共有 的 密 钥 的 任何 信息 。 

定理 10.2 k— 1 时 的 Blom 密 钥 预 分 配 协议 对 任何 单个 用 户 是 无 条 件 安 全 的 ,但 是 面 
对 两 个 用 户 合伙 是 不 安全 的 。 

证 明 UV 是 任意 给 定 的 两 个 不 同 用 户 , 第 三 个 用 户 W 想 计算 密 钥 Kv,v 二 a 十 b(ru 
十 rv) 十 crorv mod p, W 所 掌握 的 关于 天 vu.v 的 全 部 信息 可 表示 为 下 列 矩 阵 方程 : 


1 ru 十 mr rury] [a Kv.v 
di Tw 0 1 一 | aw | 
0 1 Tw c bw 


其 中 4a.b、c 和 Ku.v 是 未 知 数 。 
系数 矩阵 的 行列 式 为 : 内 十 rurv 一 (ru 十 rwv)rw 一 (rw 一 ru)(Crw 一 rv) 天 0, 任 意 设置 
Ku,v 的 一 个 值 1€ Z, 上 述 矩 阵 方程 关于 ab\c 都 有 唯一 的 一 个 解 。 换 句 话 说 ,W 无 法 判断 
Zs 中 的 哪 一 个 更 像 Ku,v。 
但 车 W 与 另 一 用 户 X 合伙 ,W SX 根据 共同 掌握 的 信息 ,可 以 写 出 下 列 矩阵 方程 : 
1 rx 0 
1 rw 0 aw 
0 1 ry by 
注意 系数 矩阵 行列 式 为 (rw 一 rx)rw 关 0, 由 该 方程 可 求解 (a,5,c), 因 此 ,能 够 构建 多 项 
A f(z,y) 并 可 计算 出 任何 想 要 的 密 钥 ,当然 可 以 计算 出 Ku,v==a 十 b(ro 十 rv) 二 crurv。 
规模 为 1 的 Blom 密 钥 预 分 配 协 议 可 直接 推广 为 规模 为 kh(1<k<<n 一 2) 的 Blom 密 钥 
预 分 配 协 议 。 唯 一 需要 改变 的 是 在 第 (1) 步 TA 改 用 以 下 形式 的 秘密 的 一 个 对 称 多 项 式 : 


k 


k 
foc.» = 23 2j a;,r'y! mod p 


i=0 j=0 


Hop aij € Z, CO i k OKJ k) ,并 且 对 于 所 有 的 zj) 有 ai 一 aii。 协 议 的 其 余 步 又 不 需 
要 改变 。 


ax 
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协议 10.17 Blom 密 钥 预 分 配 协议 (任意 的 JO. 

参数 设置 : 

TA 公开 一 个 素数 p, 每 个 用 户 U 公布 一 个 元 素 ru€ 2 ,不 同 用 户 的 ru 互 不 相同 。 

具体 步骤 : 

OD 对 于 0i jc k TA 选择 随机 元 素 aj E26 使 得 对 所 有 的 i,j,ai; 一 aj.:。TA 构造 
对 称 多 项 式 


kok 


fix» = bD a;;x'y mod p 


=o. ja 


(2) TA 为 每 个 用 户 U 计算 多 项 式 


k 
gu(Czr) = f(r,ru) mod p = E» ay ix’ 


并 通过 安全 信道 把 系数 向 量 (av,o。,… ,av,i) 发 送 给 U。 

CD 对 于 任何 两 个 用 户 U 和 V, 其 密 钥 为 Kov =f Corry) PU it E Kov = 
gu(rv) Mi VFA Kyu=gv(rv). 

下 面 将 说 明 Blom 密 钥 预 分 配 协议 满足 以 下 安全 属性 。 

CD 不 存在 k 个 用 户 的 集合 ,如 {Wi ,… ,Wi}) ,可 以 确定 出 其 他 两 个 用 户 的 密 钥 的 任何 
信息 ,如 Kuv。 

(2) 任何 十 1 个 用 户 的 集合 ,如 {Wi ，,… ,Wer1), 可 以 攻破 该 协议 。 

可 以 通过 修改 当 上 ==1 时 给 出 的 方法 证 明 协议 10. 17 满足 上 述 两 个 安全 属性 。 这 里 介 
绍 另 一 种 方法 ,该 方法 中 使 用 了 拉 格 朗 日 插值 公式 和 二 元 拉 格 朗 日 插值 公式 。 拉 格 朗 日 插 
值 公式 已 在 7. 2 节 中 介绍 ,这 里 介绍 一 下 二 元 拉 格 朗 日 插值 公式 。 设 p 是 素数 ,zi nens 
zmt1 是 Z, 中 不 同 的 元 素 , 设 ay (x) ,as (2) asa GO € Z, Lx EKREB H m 的 多 项 式 。 
存在 次 数 至 多 为 m 的 唯一 的 多 项 式 A(r,y)€ Z, Lr y 10 x Aly 为 变 元 ) ,使 得 ACz,yi) 一 
a(x) (1i im- D. JEE AK ACz,y) 为 


m 


A@y =a) JJ —— 
E 


1<h<mt1hej Vi — Dh 


上 述 公式 比较 容易 证 明 ,请 读者 作为 练习 自行 完成 。 
现在 来 证 明 下 面 的 定理 。 
定理 10.3 Blom 密 钥 预 分 配 协议 是 无 条 件 安全 地 抵抗 k 个 用 户 的 攻击 ,但 是 任何 
H1 个 用 户 都 能 够 攻破 协议 。 
证 明 易 知 ,如 果 存在 十 1 个 恶意 的 用 户 ,那么 Blom 密 钥 预 分 配 协议 是 不 安全 的 。 
十 1 个 恶意 用 户 的 集合 ,如 Wi ，,… Wa ,联合 起 来 知道 十 1 个 次 数 为 大 的 多 项 式 , 即 
Ew, Cr) = f(xsrw,) mod p 
其 中 1<i<k 十 1。 利 用 二 元 插值 公式 ,他 们 可 以 计算 出 fes 50 ,因此 ,他 们 就 能 够 计算 出 
想 要 的 任何 密 钥 Kovo 
接 下 来 证 明 Blom 密 钥 预 分 配 协议 可 以 无 条 件 安 全 地 抵抗 k 个 恶意 用 户 的 联合 攻击 。 
一 个 具有 个 恶意 用 户 的 集合 ,如 Wi,… ,Wi ,联合 起 来 掌握 个 次 数 为 k 的 多 项 式 , 即 
Bw, Gr) = f(zrsrw,) mod p 
其 中 1<i<k。 下 面 来 说 明 这 些 信 息 与 密 钥 的 任何 可 能 取 值 都 是 一 致 的 。 设 K 是 实际 的 


= 
| 
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密 钥 (其 值 不 为 合谋 者 所 知 ) mM K 是 任意 的 值 。 下 面 证 明 存在 对 称 多 项 式 /*" Gesn ER 
合谋 者 所 知道 的 信息 是 一 致 的 ,并 且 使 得 与 f^ (z,y) 相 关 的 密 钥 是 玉 ”。 从 而 ,联合 攻击 并 
不 能 排除 任何 可 能 的 密 钥 值 。 

按照 以 下 方式 定义 多 项 式 f" Grey): 

广 (zy = flay) +K 一 K) [TD QUNM IR 
1<i<k TU 
F (z,y) 具 有 以 下 一 些 性 质 。 

COD 广 是 一 个 对 称 多 项 式 , 即 f^ (z,y) 一 广 (y,z) ,这 是 因为 f(x,y) 是 对 称 的 ,而 且 
式 (10-1) 中 的 乘积 关于 z 和 y 也 是 对 称 的 。 

(2) 对 于 1<i<k, 有 

f° (zrw) = f(rrw) = gw (x) 
这 是 因为 当 y 一 rw, 时 式 (10-1) 的 乘积 中 包括 一 个 等 于 0 的 项 ,从 而 乘积 为 0。 

(3) f' Gy sry) fior) -K' —K=K* ,因为 此 时 式 (10-1) 中 的 乘积 等 于 1 。 

这 3 个 性 质 表 明 ,对 于 密 钥 的 任何 可 能 的 取 值 K" ,都 存在 一 个 对 称 多 项 式 f* (x,y) 
使 得 f' (QU,VO— K" ,而 大 个 恶意 用 户 所 掌握 的 秘密 信息 保持 不 变 。 

Blom 密 钥 预 分 配 协议 的 一 个 缺点 是 存在 一 个 必须 事先 指定 的 苛刻 的 安全 门限 ( 即 Kc 
值 )。 一 旦 多 于 大 个 用 户 决定 联合 ,整个 协议 将 被 攻破 。 但 Blom 密 钥 预 分 配 协议 在 存储 需 
求 方面 来 说 是 最 优 的 。 已 经 证 明 ,在 任何 可 以 抵抗 个 用 户 联合 的 无 条 件 安全 的 密 钥 预 分 
配 协议 中 ,每 个 用 户 的 存储 至 少 是 密 钥 长 度 的 十 1 倍 。 


10.2.3 Leighton Micali 密 钥 协 商 协议 


Leighton 和 Micali 提出 了 一 个 相对 简单 的 密 钥 协 商 协议 "7 。 在 该 协议 中 ,用 户 的 密 钥 
存储 在 一 个 抗 自 改 的 设备 中 ,这 个 假定 可 以 减 小 合谋 攻击 的 威胁 。 

协议 10.18 Leighton-Micali 密 钥 协商 协议 。 

参数 设置 : 

系统 包括 若干 个 用 户 和 一 个 可 信服 务 器 TA。 每 个 用 户 生 成 一 个 身份 比特 串 Ca, 
as，"…，a，)， 这 个 比特 串 由 一 个 以 用 户 的 身份 标识 符 为 变量 的 公开 函数 计算 ,h 为 一 个 单 向 
函数 。 


(10-1) 


—rw,) Cry — rw,) 


具体 步骤 : 
(1) TA 随机 生成 个 秘密 值 C(X，X: +, Xa) 
(2) TA 为 身份 比特 串 为 (oa ，as,，…， a,) 的 用 户 分 配 一 个 秘密 序列 (4 ,ts，…，, ) ,这 


里 ,如 果 ai; 二 0, 则 二 二 Xi;; 如 果 a;— 1.9] z— CX . 
G) PAPE OD CREB SP BI Ca, azs ts Gn) ACD: bzs =s 5b,) 的 用 户 ,通过 下 面 方式 
计算 它们 的 共享 秘密 k— (I. ks，… ,kk,): 如 果 ai 一 六 一 0, 则 k;— X5 HWM Kk; OX, 


10.2.4 Diffie-Hellman 密 钥 协商 协议 


第 一 个 也 是 最 著名 的 密 钥 协商 协议 是 Diffie Hellman 密 钥 协商 协议 "” 。 
协议 10. 19 与 协议 10. 15 是 非常 类 似 的 ,差别 仅 在 于 每 一 次 协议 运行 时 ,用 户 U 和 V 
都 会 分 别 选取 一 个 新 的 指数 au 和 av, 并 且 在 该 协议 中 没有 长 期 密 钥 。 
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协议 10.19 Diffie-Hellman 密 钥 协商 协议 。 

参数 设置 : 

公开 群 (G,，) 和 阶 为 n 的 元 素 a€G。 

具体 步骤 : 

CD U 选取 一 个 随机 数 au,0<au 三 n 一 1, 然 后 计算 by —a*c ,并 将 by REI V. 

(2) V 选取 一 个 随机 数 av,0<av 考 n 一 1, 然 后 计算 bv 二 a” ,并 将 by RIEU. 

(3) U 计算 得 出 KK 二 (by)" ,V iF AE K= (by). 

在 Diffie Hellman 密 钥 协商 协议 的 一 个 会 话 结束 时 ,用 户 U 和 V 计算 出 了 同一 个 
密 钥 : 

K = a*v*v = CDH (abo by ) 

这 里 ,CDH 通常 指 的 是 计算 Diffie-Hellman 问题 。 因 为 假定 判定 性 Diffie-Hellman 问 
题 是 困难 的 ,所 以 一 个 被 动 的 敌手 无 法 计算 出 关于 K 的 任何 信息 。 

由 协议 10. 19 的 流程 可 知 ,Diffie-Hellman 密 钥 协 商 协议 的 基本 模式 如 图 10. 1 所 示 。 

U [4 


at 


av 


一 


图 10.1 Diffie-Hellman 密 钥 协商 协议 基本 模式 


不 幸 的 是 ,这 种 协议 很 容易 遭受 主动 敌手 发 起 的 中 间 人 侵 攻击 。 其 基本 模式 如 图 10. 2 
所 示 , 对 Diffie-Hellman 密 钥 协 商 协议 的 中 间 和 人 侵 攻 击 来 讲 ,W 将 截取 U 和 V 之 间 的 信息 
并 替换 成 自己 的 信息 。 在 会 话 结束 时 ,U 与 W 确立 了 秘密 密 钥 a"" LV 与 W 确立 了 秘密 密 
钥 a"%*v。 当 UU 要 加 密 一 条 信息 后 发 送 给 V 时 ,W 可 以 对 它 进行 解密 而 V 却 不 可 以 。 对 于 
V 发 送信 息 给 U 的 情况 也 是 类 似 的 。 


U wW V 


图 10.2 中间 入 侵 攻击 


显然 ,U RU V 有 必要 保证 是 在 向 对 方 而 不 是 W 来 交换 信息 (包括 密 钥 )。 在 交换 密 钥 
之 前 ,U 和 V 要 执行 一 个 单独 的 协议 来 确定 彼此 的 身份 ,如 可 以 使 用 一 个 安全 的 交互 认证 
协议 。 但 这 仍 不 能 抵抗 中 间 入 侵 攻 击 。 这 是 因为 W 可 以 等 到 U 和 V 相互 证 明 身份 之 后 进 
行 中 间 人 侵 攻 击 。 有 一 个 更 有 效 的 方法 可 以 用 来 设计 密 钥 协商 协议 , 即 在 密 钥 确定 的 同时 
就 要 认证 参与 者 的 身份 。 这 种 类 型 的 密 钥 协商 协议 被 称 为 认证 密 钥 协商 协议 。 

一 个 认证 密 钥 协 商 协议 可 以 非 正式 地 定义 为 满足 以 下 性 质 的 密 钥 协商 协议 。 

CD 交互 识别 。 是 一 个 安全 的 交互 识别 协议 , 即 在 主动 敌手 的 任何 流程 后 ,没有 一 个 诚 


RERK—_BKSER 


实 的 参与 者 会 “接受 ”。 
(2) 密 钥 协 商 。 如 果 不 存在 主动 敌手 , 则 双方 参与 者 计算 出 相同 的 新 会 话 密 钥 。 除 
此 之 外 ,一 个 被 动 敌手 将 计算 不 出 关于 K 的 任何 信息 。 


10.2.5 端 - 端 密 钥 协商 协议 


本 小 节 将 描述 一 个 认证 密 钥 协 商 协议 2 , 它 是 Diffie Hellman 密 钥 协 商 协议 的 一 个 改 
进 。 该 协议 使 用 了 通常 由 可 信 中 心 TA 签 过 名 的 证 书 。 该 认证 密 钥 协商 协议 也 被 称 作 端 - 
端 密 钥 协商 协议 (简写 为 STS) ,是 由 Diffie, Van Oorschot 和 Wiener 提出 的 。 协 议 10. 20 
是 一 个 略微 简化 的 端 - 端 协议 , 它 遵 从 ISO 9798 一 3 标准 的 要 求 。 其 基本 思想 是 将 Diffie- 
Hellman 密 钥 协商 协议 和 一 个 安全 的 身份 识别 协议 结合 在 一 起 ,这 里 指数 值 bu 和 bv 充当 身 
份 识 别 协议 的 随机 因子 。 大 致 来 讲 , 对 随机 因子 进行 签名 提供 了 交互 式 认证 。 更 进一步 , 根 
据 Diffie-Hellman 密 钥 协 商 协议 计算 出 的 随机 因子 使 得 用 户 U 和 V 可 以 计算 出 相同 的 密 
$H K =CDH (aby by), 

协议 10.20 简化 的 端 - 端 密 钥 协商 协议 。 

参数 设置 : 

公开 群 (G,，) 和 一 个 阶 为 n 的 元 素 a EG。 用 户 U 的 签名 算法 记 为 Sigu ,验证 算法 记 
为 Veru。 可 信 中 心 TA 的 公开 验证 算法 记 为 Verrs 。 每 个 用 户 都 有 一 个 证 书 Cert(U) = 
ADU) , Very ,SigrA(ID(U) ,Veru)) ,这 里 ID(U) 是 U 的 识别 信息 。 用 户 V 拥有 与 用 户 U 
同样 的 参数 。 

具体 步骤 : 

CD U 选择 一 个 随机 数 au,0<au 三 n 一 1, 然 后 计算 by —a*v ,并 将 Cert (U) RI bu 发 送 
给 V。 
(2) V 选择 一 个 随机 数 av,0 三 av Sn — 1. AJ TE SE by = a , 开 一 (bo) Rl yv— 
Sigy ID(U) || by || bu) ,并 将 Cert(V) .ov 和 yv 发 送 给 U。 

(3) U 使 用 Verv 来 验证 yv 。 如 果 签 名 yv 无 效 , 则 他 会 “拒绝 ”并 退出 ;否则 ,他 会 “ 接 
Z”, WA K= (by) A yo 一 Sigu(IDCV) || bo || bv) HH yu 发 送 给 V。 

(4) V 使 用 Veru 验 证 yo 。 如 果 签 名 yu 无 效 , 则 他 会 “拒绝 ”; 否 则 ,他 会 “接受 ”。 


现在 来 讨论 简化 的 STS 协议 的 安全 性 。 为 u 
了 讨论 方便 ,将 协议 的 一 次 会 话 中 交换 的 信息 ES - 
(包括 证 书 ) 绘 制 成 图 ,如 图 10. 3 所 示 。 

首先 看 一 下 如 何 利用 签名 来 阻止 上 面 所 说 Sen OO 59 
的 中 间 入 侵 攻击 。 假 设 W RR Te EEE 
换 为 a 和 A。 然后 W 收 到 从 V 那里 发 送 来 的 a 和 ele = 


Sigy OD (U) || a*v ea%)。 他 想 将 av 替换 为 图 10.3 

a“ 。 然 而 ,这 意味 着 他 也 必须 将 签名 替换 为 

Sig DU) || a% || ce )。 不 幸 的 是 ,因为 W 并 不 知道 V 的 签名 算法 Sigv, 所 以 他 无 法 计 
算出 关于 字符 串 ID(U) || a a% 的 V 的 签名 。 类 似 地 ,因为 W 并 不 知道 U 的 签名 算法 ， 
所 以 无 法 用 Sigs ADV) a“ || ev) 来 替换 Sigu(ID(V) || as ‖ a%)。 签 名 的 巧妙 利用 使 
得 U 和 V 之 间 可 以 相互 识别 。 这 恰好 可 以 阻止 中 间 和 人 侵 攻击 。 
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针对 用 户 知道 计算 出 的 会 话 密 钥 K 的 情况 可 以 定义 几 种 特性 ,这 里 假定 在 密 钥 协 商 协 
WP V EU 认定 的 对 等 方 。 

CD 隐 式 密 钥 认证 。 如 果 U 可 被 确保 除了 V 之 外 , 没 人 能 计算 出 K( 特 别 是 敌手 应 该 
不 能 够 计算 出 KO , 则 就 说 该 协议 提供 了 隐 式 密 钥 认证 。 

(2) 隐 式 密 钥 确 认 。 如 果 U 可 被 确保 V 能 计算 出 K (假设 V 是 按照 规定 执行 了 该 协 
议 ), 并 且 除 了 V 之 外 , 没 人 能 计算 出 天, 则 说 该 协议 提供 了 隐 式 密 钥 确认 。 

(3) 显 式 密 钥 确认 。 如 果 UU 可 被 确保 V 已 经 计算 出 了 KK ,并 且 除 了 V 之 外 , 没 人 能 计 
算出 天 , 则 说 该 协议 提供 了 显 式 密 钥 确认 。 

当然 ,还 是 希望 协议 10. 20 可 以 抵抗 所 有 可 能 的 攻击 ,而 不 仅仅 是 某 一 种 特殊 的 攻击 。 
已 经 证 明 ,协议 10. 20 是 一 个 认证 密 钥 协 商 协 议 , 在 判定 性 Diffie-Hellman 问题 难 解 的 假设 
条 件 下 ,该 协议 为 双方 都 提供 了 隐 式 密 钥 确认 。 


10.2.6 MTI 密 钥 协 商 协议 


Matsumoto、Takashima 和 Imai 通过 修改 Diffie-Hellman 密 钥 协商 协议 构造 了 一 些 有 
趣 的 密 钥 协 商 协 议 ( 称 之 为 MTI 协议 )。 这 些 协议 不 需要 用 户 U 和 V 之 间 计 算 任何 签名 。 
因为 在 该 协议 的 每 一 个 会 话 中 仅 执行 两 个 信息 传送 (一 个 是 从 U 到 V, 另 一 个 是 从 V 到 
UD ,因此 它们 被 称 为 双流 (Two-flow) 密 钥 协 商 协议 。 相 比 之 下 , 端 - 端 密 钥 协 商 协议 是 一 个 
3 段 (Three-pass) 协 议 。 

本 节 介 绍 一 种 名 为 MTI/AO 的 MTI 密 钥 协商 协议 2 。MTI 密 钥 协商 协议 是 一 个 比 
较 受 关注 的 协议 。 在 协议 提出 之 后 ,人 们 对 其 安全 性 做 了 较 多 的 分 析 , 提出 了 多 个 攻击 方 
法 ,如 未 知 密 钥 共享 攻击 中 、Lim-Lee 攻击 [纹身 份 冒 充 攻击 5 呈 等 。 此 外 ,人 们 基于 MTI 
协议 的 设计 思想 ,又 提出 了 一 些 密 钥 协商 协议 ,如 Goss BI ,但 是 这 些 协议 大 多 存在 与 
MTI 协议 类 似 的 缺陷 。 

协议 10.21 MTI/AO 密 钥 协商 协议 。 

参数 设置 : 

公开 群 (G,，) 和 一 个 阶 为 n 的 元 素 a€EG。 每 一 个 用 户 荆 有 一 个 秘密 指数 at ,其 中 0 过 
at 二 n 一 1, 对 应 的 公开 值 为 b+ 二 a”? ,br 被 包含 在 了 的 证 书 中 ,并 被 TA EH. 

具体 步骤 ， 

(1) U 随机 选取 ru 0<rue<n—-1,H+# su=a ,然后 UU 将 Cert (U) 和 so 发 送 给 V. 

(2) V 随机 选取 ry .Ocry n — 1 YESE sy=a'v ,然后 V 将 Cert(V) 和 sv 发 送 给 UU。 

(3) V 计算 出 会 话 密 钥 K 二 syY 65 ,其 中 他 从 Cert (U) 中 获得 了 bu 值 ;U 计算 出 会 话 密 


BK Sse by ,其 中 他 从 Cert(V) 中 获得 bv 值 。 U y 
在 会 话 结束 时 ,U 和 V 都 计算 出 了 相同 的 会 Cer(U av 

话 密 钥 K avv, =; 
为 了 便于 讨论 ,将 协议 的 一 次 会 话 中 被 传送 n Cert(V ), av 


的 信息 绘制 成 图 ,如 图 10. 4 所 示 。 

再 看 一 下 该 协议 的 安全 性 。 可 以 很 容易 地 推 
出 ,对 于 一 个 被 动 敌 手 来 说 ,MTI/AO 密 钥 协商 协议 和 Diffie Hellman 密 钥 协商 协议 的 安全 
性 是 一 样 的 。 与 许多 协议 一 样 , 在 主动 敌手 的 情况 下 提供 可 证 明 安 全 性 是 一 个 难 问 题 。 


图 10.4 


ig Liu i RESLAR 


在 协议 中 如 果 不 使 用 签名 , 则 可 能 会 遭受 中 间 入 侵 攻 击 。 事 实 上 ,W 确实 可 能 改变 U 
Tn V 之 间 传 送 的 值 。 在 图 10.5 中 ,描述 了 一 种 可 能 会 发 生 的 典型 场景 , 它 类 似 于 最 初 提出 
的 应 用 于 Diffie-Hellman 密 钥 协商 协议 的 中 间 入 侵 攻 击 。 在 这 种 情况 下 ,U 和 V 计算 出 不 
同 的 密 钥 : U HSE K Savte i V iH K Sarvi, Ri W 无 法 计算 由 品 或 
V 计算 出 的 密 钥 (当然 这 些 密 钥 对 他 来 说 是 无 用 的 ), 因 为 他 需要 分 别 知道 秘密 指数 au 
All av。 

U w y 
Cer(U ), a’ 


Cert(U ), ab 


Cert(V ), æv 


Cert(V), av 
图 10.5 攻击 MTI/AO 的 一 种 典型 场景 


因此 ,尽管 U 和 V 已 经 计算 出 了 不 同 的 密 钥 ,W 却 无 法 计算 出 其 中 任何 一 个 密 钥 ,并 
且 他 也 无 法 获取 关于 这 些 密 钥 的 任何 信息 (假定 DDH 问题 是 困难 的 ) 。 

如 果 这 是 关于 该 协议 唯一 可 能 的 攻击 方法 , 则 说 该 协议 提供 了 隐 式 密 钥 认 证 。 这 是 因 
为 ,尽管 存在 这 种 攻击 ,但 U 和 Y 都 能 保证 对 方 是 网 络 中 可 以 计算 出 密 钥 的 唯一 用 户 。 然 
而 ,下 面 将 说 明 在 已 知 会 话 密 钥 攻击 模型 中 会 存在 由 敌手 发 起 的 其 他 攻击 。 

首先 提供 一 个 关于 MTI/A0 并 行 会 话 的 已 知 会 话 密 钥 攻击 。 敌 手 W 是 一 个 在 两 个 会 
话 中 的 主动 参与 者 : 在 会 话 S 中 ,W 假装 是 和 U 进行 对 话 的 V; 在 并 行 发 生 的 会 话 S' 中 ,W 
假装 是 和 V 进行 对 话 的 U。 图 10.6 说 明了 W 进行 的 活动 。 


s S 
a) Cert( V ), sy w| @ Cert(U ), sy 


(4) Cert(U ), su (3) Cert( V ), sy 


图 10.6 MTI/A0 的 已 知 会 话 密 钥 攻击 


这 两 个 会 话 中 的 流程 按照 发 生 的 次 序 进行 标号 。(1) 和 (2) 分 别 表示 了 会 话 SHS 的 
初始 信息 流 。 然 后 W 将 流 (1) 的 信息 复制 到 流 (3) 中 , 流 (2) 的 信息 复制 到 流 (4) 中 去 。 因 为 
这 两 个 会 话 是 并 行 执行 的 ,所 以 这 是 一 个 并 行 会 话 攻击 。 

当 这 两 个 会 话 结束 后 , 请求 会 话 S' 中 的 密 钥 K ,在 一 个 已 知 会 话 密 钥 攻击 下 ,他 是 被 
允许 这 样 做 的 。 当 然 ,K 也 是 会 话 S“ 的 密 钥 , 因 此 作为 一 个 会 话 的 主动 敌手 并 且 没 有 请 求 
会 话 密 钥 的 情况 下 ,W 达到 了 计算 密 钥 的 目标 。 在 已 知 会 话 密 钥 攻击 模型 下 ,这 是 一 个 成 
功 的 攻击 。 

之 所 以 可 以 进行 并 行 会 话 攻击 ,是 因为 密 钥 是 关于 由 会 话 双方 提供 的 输入 的 一 个 对 称 
函数 值 , 即 K =at uev =K (ry sav) (ry sav) — KCCOry ia) | (rusau)) o 
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为 了 消除 这 种 攻击 ,应 该 破坏 这 种 对 称 性 。 例 如 ,可 以 使 用 一 个 Hash 函数 h 作为 密 钥 

推导 函数 。 假 定 实际 的 会 话 密 钥 K 被 定义 为 
K =h (avv || a'v*v ) 

U( 会 话 的 发 起 者 ) 将 计算 K — Gy | sw ) ,而 V( 会 话 的 响应 者 ) 将 计算 K = ACY |l 
b. 
使 用 这 种 修改 过 的 构造 会 话 密 钥 的 方法 ,前面 的 攻击 将 不 再 有 效 。 这 是 因为 会 话 S 和 
S 现在 有 两 个 不 同 的 密 钥 : S 的 密 钥 是 

Ks = h (a'v'v || a'v*v ) 

而 会 话 S 的 密 钥 是 

Ks =h (avv || a'v*v ) 

如 果 姑 是 一 个 “好 ”的 Hash 函数 (如 是 一 个 随机 预言 ), 则 W 在 给 定 Ks 的 情况 下 无 
法 计算 出 Ks ,或 在 给 定 Ks 的 情况 下 无 法 计算 出 Ks 。 

针对 MTI/A0 还 有 一 种 已 知 会 话 密 钥 攻击 ,被 称 为 Burmester 三 角 攻 击 。 图 10.7 描 
述 了 这 种 攻击 。 现 在 介绍 一 下 三 角 攻 击 的 基本 思想 。 首 先 ,W 观察 到 在 U 和 之 间 存 在 
一 个 会 话 S。 然 后 W 分 别 参与 了 V 和 UU 之 间 的 另外 两 个 会 话 S1 和 S; 。 在 这 两 个 会 话 中 ， 
W 传送 由 S 中 复制 过 来 的 su 和 sy。 当然 ,W 并 不 知道 分 别 对 应 于 su 和 sv 的 指数 ru Al ry. 
然后 , 当 会 话 S AS, 结束 时 ,W 请 求 这 两 个 会 话 的 密 钥 ,这 在 已 知 会 话 密 钥 攻击 下 是 被 允 
许 的 。 


E wW U 


S 


Cert(U ), su 


Cert(V ), sy 


5 $ 


Cent), sy Cert(W ), sy 


Cert(V ), sy Cert(U ), si; 


图 10.7 MTI/A0 的 Burmester = f& Xx 


会 话 S.S, 和 S, 的 密 钥 KK; 和 K; 分别 为 : Karo vee LK, manet ow 和 天: 一 
aroew+rveu 。 
给 定 K, 和 K, W 可 以 按照 以 下 方式 计算 出 天 , 即 
K,K, 
(CSvsU) w 


因此 这 是 一 个 成 功 的 已 知 会 话 密 钥 攻 击 。 


k= 


ie Lid is RESTR 


通过 使 用 上 面 描述 的 密 钥 推导 函数 ,也 可 以 避免 三 角 攻 击 。 可 以 猜想 MTI/AO 的 修改 
版 对 已 知 会 话 密 钥 攻击 是 安全 的 。 


10.2.7 Girault 密 钥 协 商 协议 


本 小 节 将 描述 一 种 由 Girault 提出 的 密 钥 协商 协议 55 ,该 协议 不 需要 证 书 。 在 该 协议 
中 , 公 钥 值 和 其 拥有 者 的 身份 是 彼此 隐 式 地 相互 认证 的 。 

Girault 密 钥 协商 协议 结合 了 RSA 和 基于 离散 对 数 的 方案 的 特点 。 假 定 n= pq, 其 中 
b—2p,-1.4—2qi- 1. pqp: 和 9 都 是 大 素数 。 乘 法 群 Z; 与 2; XZ; 是 同 构 的 ,因此 ,2 
中 任意 元 素 的 最 大 阶 是 p 一 1 和 4 一 1 的 最 小 公 倍 数 , 即 为 pge Sa EAH 20.90 WH 
Zi 中 的 一 个 元 素 。 在 如 和 4 足够 大 的 情况 下 ,由 产生 的 Z; 中 的 循环 子 群 比较 适合 用 来 
构造 离散 对 数 问题 。 

在 Girault 密 钥 协商 协议 中 , 仅 有 T A 知道 n 是 如 何 分 解 的 。n 和 a 是 公开 参数 ,而 py 
abi 和 gi 都 是 秘密 的 。TA 选取 了 一 个 公开 的 RSA 加 密 指数 , 记 为 e。。 相 对 应 的 解密 指数 
d 是 秘密 的 (通常 d—e ! mod g(n))。 

每 个 用 户 U 都 有 一 个 识别 串 ID(U) 。 由 协议 10. 22 可 知 ,用 户 U 需要 从 TA 中 获取 一 
个 自 认证 公 钥 pu. U 需要 TA 的 帮助 来 产生 公 钥 tu 。 通 过 使 用 公开 的 信息 可 以 从 po 和 
ID(U) 计 算出 如一 (2 十 ID(CU)) mod n, 

协议 10.22 Girault 公 钥 生成 协议 。 

参数 设置 : 

n 是 公开 的 ,d 是 仅 由 TA 所 知道 的 秘密 值 。 

具体 步骤 : 

(1) U 选取 一 个 秘密 指数 au ,计算 bu =a" mod ”并 将 av 和 bu 发 送 给 TA, 

(2) TA 计算 pu= (Gi — ID(U) )* mod n, 并 将 pu 发 送 给 U。 

协议 10. 23 描述 了 Girault 密 钥 协商 协议 。 在 协 ID), py, o mod n 
议 10. 23 中 ,一 次 会 话 中 所 传送 的 信息 如 图 10.8 pg y 
所 示 。 


在 会 话 结束 时 ,U MV 分 别 计算 出 密 钥 IDXV), py, o mod n 
K =a" mod n = BE bY mod n 图 10.8 

协议 10.23 Girault 密 钥 协商 协议 。 

参数 设置 : 

公开 参数 nefla. 

具体 步骤 


CD U 随机 选取 ru ,计算 su=a mod n, 并 将 IDU), pu 和 su 发 送 给 V。 
(2) V 随机 选取 rv ,计算 sv 二 a mod ”并 将 IDV). py 和 sv 发 送 给 U。 
(3) UU 计算 K=s (加 十 IDCV))m mod n,V 计算 
K = st¥ Ox -- ID(U))'Y mod n 
下 面 分 析 协 议 10. 23 是 如 何 抵挡 一 种 特殊 类 型 的 攻击 。 因 为 bu、pu 和 ID(U) 没 有 被 
TA 所 签名 ,所 以 其 他 人 无 法 直接 验证 它们 的 真实 性 。 假 如 该 信息 被 冒充 V 的 W 来 产生 
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( 它 不 是 和 TA 共同 产生 的 )。W 先 产生 ID(U) 和 一 个 伪造 值 5 。 他 可 以 很 容易 计算 出 
bu = (po)! + ID CU) ,但 在 离散 对 数 问题 难 解 的 前 提 下 ,他 却 没 办 法 根据 的 计算 出 指数 
at 来 。W 可 以 假装 成 U 来 执行 一 次 协议 会 话 , 然 而 ,如 果 不 知道 at 的 值 , 则 W 无 法 计算 会 
ia BAK, 

?4 W 想 充 当 一 个 中 间 入 侵 者 时 ,情况 也 是 类 似 的 。W 可 以 阻止 U 和 V 计算 出 一 个 共 
同 的 密 钥 ,但 是 W 却 不 能 复制 品 或 V 的 计算 值 。 因 此 ,就 像 MTI/AO 那样 ,该 协议 提供 了 
针对 这 种 攻击 的 隐 式 密 钥 认证 。 

从 Girault 密 钥 协商 协议 可 以 看 出 ,TA 无 需 U 给 它 提供 av, 它 就 能 直接 从 bu 计算 出 
pu。 现 在 要 问 为 什么 还 要 求 U 把 值 au 提供 给 TA WE? 但 在 这 里 很 重要 的 一 点 是 TA 应 被 
Wate A UR pu 之 前 ,U 知道 au 的 值 。 

为 了 说 明 这 一 点 ,将 描述 当 TA 在 不 先 检查 用 户 是 否 拥有 对 应 于 bu 的 au 值 就 随便 发 
布 公 钥 pu 时 ,该 协议 是 如 何 被 攻击 的 。 假 定 W 选取 了 一 个 伪造 值 au ,并 计算 出 了 对 应 值 
by =a" mod n, 

然后 计算 出 对 应 的 公 钥 值 : 

pu= (bu— ID(U))" mod n 
W 将 计算 : 
by = by— ID(U) + ID(W) 

然后 将 bw 和 IDW RISA TA, BE TA 发 布 了 公 钥 值 pw= (bw 一 ID(W))* mod n 
给 W。 Hd by —ID(W)=b, —1D(QU) (mod 7), 可 以 立即 推出 pw — poo 

现在 假定 ,在 稍 后 时 候 ,U 和 V 执行 了 该 协议 ,W 蔡 代 了 如 图 10. 9 所 示 的 信息 。 


ID(V), pv,a "v mod n ID(U ), pi. o "6 mod n 
w 


- -y 


ID(V ), py,ce'¥ mod n ID(V ), py,& vmod n 
一 一 


图 10.9 对 Girault 密 钥 协 商 协议 的 攻击 


然后 立 计 算 密 钥 天 “一 ciev+rvo mod n, Eit U HAH K =at mod n, W 可 以 
HK’ ost (py +ID(V)) mod n, 

因此 W A V 共享 了 一 个 密 钥 ,而 V 却 认为 他 是 在 和 UU 共享 一 个 密 钥 。 所 以 W 可 以 对 
由 V 发 送 到 U 的 消息 进行 解密 。 


10.2.8 MQV 密 钥 协商 协议 


MQV 协议 中 是 由 Menezes 等 人 提出 的 一 个 密 钥 协商 协议 ,这 个 协议 后 来 由 Law 等 人 
HITT BOU ,并 成 为 IEEE P1363 一 2000 fiif". fe MQV 协议 中 ,定义 了 一 个 特殊 的 
运算 : 对 于 Z,(p ERZO LEER t ELS mod 2%) -2* , 即 到 达 > 的 结果 是 一 
个 ww 比特 的 二 进 制 串 (一 般 取 ww 二 80) 。 

协议 10.24 MQV 密 钥 协商 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p JE EL IE 4S. p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
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og E Z, 上 的 一 个 4 阶乘 法 生成 元 。 用 户 A 拥有 公 钥 8 和 对 应 的 私 钥 cP B 拥有 公 
钥 g* 和 对 应 的 私 钥 y。 

具体 步骤 : 

CD A 随机 选取 一 个 元 素 a,1<a<g 一 1, 计 算 s, =g" mod pp, 并 将 SA 发 送 给 B. 

(2) B 随机 选取 一 个 元 素 5,1<6b<gq 一 1, 计 算 ss 二 g* mod p HH ss 发 送 给 A. 

(3) B 接 收 到 消息 ,计算 Ss 一 5 十 二 ss 记 y, 然 后 计算 共享 密 钥 大 一 (SA Cg! )7 57 
mod p. 

(4) A 接收 到 消息 ss, 计 算 S. — ac s >r, PARTE TEE BA k= Gy Gp )797 08 
mod p。 

ARI B BA SES BH ko gatto? | MQV 密 钥 协商 协议 可 以 提供 前 向 
安全 性 ,可 以 抵抗 身份 假冒 攻击 。 协 议 中 引入 了 一 个 特殊 的 运算 ,这 个 运算 破坏 了 原 有 的 代 
数 结构 ,从 而 让 人 们 确信 协议 的 实际 安全 性 。 


10.2.9 KEA 密 钥 协 商 协议 


在 20 世纪 90 年 代 , 美 国 国家 安全 局 推出 了 密 钥 托管 机 制 。 在 这 个 机 制 中 ,也 设计 了 一 
个 密 钥 协商 协议 , 称 之 为 KEA 密 钥 协商 协议 "* 。 

协议 10.25 KEA 密 钥 协商 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
q.gJÉ Z, 上 的 一 个 g 阶乘 法 生成 元 。 用 户 A 拥有 公 钥 g* 和 对 应 的 私 钥 HP B 拥有 公 
Ag? BOSE BORA y o 

具体 步骤 : 

(D A 随机 选取 一 个 元 素 a,1a<g 一 1, 计 算 sa =g" mod p, 并 将 s 发 送 给 B. 

(2) B 随机 选取 一 个 元 素 5,1<b<q 一 1, 计 算 ss — g^ mod p ,并 将 ss 发 送 给 A. 

(3) B 接收 到 消息 sa, 计算 共享 密 钥 k=(s,)?+(g*)’ mod pe 

(4) A 接收 到 消息 sa, 计算 共享 密 钥 k 二 (ss)" 十 (g*)* mod p。 

A 和 了 最 终 的 共享 密 钥 为 K 一 8 +e". KEA 密 钥 协商 协议 可 以 视 为 MTI 密 钥 协 商 
协议 的 一 个 变 体 ,这 个 协议 不 能 提供 前 向 安全 性 。 


10.2.10 Internet 密 钥 协商 协议 


在 基于 Diffie-Hellman 问题 的 密 钥 协商 协议 中 ,Internet 密 钥 交换 协议 也 提供 了 实体 
认证 功能 。Internet 密 钥 交 换 协 议 是 IPSec 默认 使 用 的 密 钥 协商 协议 , 它 结 合 了 ISAKMP 
协议 "中 所 提供 的 认证 和 密 钥 交换 框架 ,并 使 用 了 部 分 Oakley 协议 950 和 SKEME Hi’, 
Internet 密 钥 交换 协议 提供 了 多 种 可 选 的 工作 模式 和 安全 实施 方案 ,所 以 ,这 个 协议 显得 比 
较 复杂 。 在 2005 年 ,IETF 推出 了 Internet 密 钥 交换 协议 的 第 2 版 23 。 

协议 10.26 Internet 密 钥 交换 协议 (第 2 版 ) 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
qsg 是 Z, 上 的 一 个 g 阶乘 法 生成 元 。 用 户 A 和 用 户 B 分 别 拥有 各 自 的 签名 私 钥 以 及 对 应 
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的 验证 公 钥 。 

具体 步骤 : 

(1) A 随机 选取 一 个 元 素 a,1<a<g 一 1, 计 算 sa — g* mod p, 生 成 消息 (CK ,lista ,sa， 
na) 并 将 该 消息 发 送 给 B, 这 里 ,CK 是 头 格式 ,lista 是 A 支持 的 密码 算法 列表 ,ns 是 一 个 随 
机 数 。 

(2) B 随机 选取 一 个 元 素 5,1<5<q 一 1, 计 算 55 — g^ mod p. "E MIA A (CK, lists sp» 
ns) 并 将 消息 发 送 给 用 户 A, 这 里 ,CK 是 头 格式 ,lists 是 B 支持 的 密码 算法 列表 ,ns 是 一 个 随 
机 数 。 

(3) A 接收 到 消息 后 ,首先 利用 两 个 随机 数 以 及 sa ss 计算 一 个 共享 密 钥 种 子 ,后 续 消 
息 使 用 的 密 钥 都 源 于 这 个 共享 密 钥 种 子 ,然后 ,A 计算 一 个 认证 值 AuthA ,最 后 生成 消息 
(CCK,，SK(A，AuthA，SAA，TSA，TSs) ) 并 将 该 消息 发 送 给 B, 这 里 ,SK 表示 将 信息 加 密 
A 是 用 户 的 标识 符 ,SA。、TS 和 TSs 是 用 于 建立 一 个 子安 全 关联 进程 的 参数 。 

(4) B 接收 到 消息 后 ,首先 利用 两 个 随机 数 以 及 ss 与 ss 计算 一 个 共享 密 钥 种 子 ,然后 B 
计算 一 个 认证 值 Auths ,最 后 ,生成 消息 (CK, SK(B，Auths，SAs，TS。，TSs)) 并 将 消息 
发 送 给 用 户 A, 这 里 ,SK 表示 将 信息 加 密 ,B 是 用 户 的 标识 符 ,SAs、TS。 和 TSs 是 用 于 建立 
一 个 子安 全 关联 进程 的 参数 。 


10.2.11 椭圆 曲线 上 的 密 钥 协商 协议 


前 面 介绍 的 基于 公 钥 密码 技术 的 密 钥 协商 协议 , 其 安全 性 都 是 基于 有 限 域 上 的 Diffie- 
Hellman 问题 。 此 外 ,还 有 一 部 分 基于 公 钥 密码 技术 的 密 钥 协商 协议 ,其 安全 性 是 基于 椭圆 
曲线 上 的 Diffie-Hellman 问题 。 本 节 介 绍 两 个 这 样 的 协议 。 

协议 10.27 Joux HAMIL 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 gq 一 个 g 阶 加 法 群 C, .一 个 g 阶乘 法 群 G; ,以 及 加 
法 群 G1 的 一 个 生成 元 已 ,并 且 要 求 群 G1 和 G; 上 的 离散 对 数 问题 是 困难 的 。 系 统 再 选取 一 
个 双 线性 映射 e: G1 XG 一 Gs。 协 议 有 3 个 参与 方 ,用 户 A、 用 户 B 和 用 户 C。 

具体 步骤 : 

A) A 随机 选取 一 个 元 素 a,1<a<g 一 1,; 计 算 sa 二 aP, 并 将 ss REA BAC, 

(2) B 随机 选取 一 个 元 素 5,1<5b<q 一 1, 计 算 ss 一 bP, 并 将 ss 发 送 给 A AIC. 

(3) C 随机 选取 一 个 元 素 c,1 和 c 委 9 一 1, 计 算 sc 二 cP, 并 将 tc 发 送 给 A 和 B。 

(4) A 接收 到 B 和 C 发 送 的 消息 后 ,计算 共享 密 钥 k—e(P, cP)’. 

(5) 也 接收 到 A MC 发 送 的 消息 后 ,计算 共享 密 钥 k—e(aP, cP)’, 

(6) C 接收 到 A MB 发 送 的 消息 后 ,计算 共享 密 钥 k=elaP, bP). 

与 Diffie-Hellman 密 钥 协商 协议 类 似 ,Joux 密 钥 协商 协议 没有 对 发 送 消 息 的 认证 , 因 
此 ,参与 协议 的 三 方 都 不 能 保证 消息 提供 者 的 身份 。Joux 密 钥 协商 协议 可 以 抵抗 被 动 攻 
击 , 不 能 抵抗 中 间 人 侵 攻击 等 主动 攻击 。 

协议 10.28 Yao-Feng SH MMW 。 

参数 设置 ; 

系统 选择 并 公布 一 个 适合 的 大 素数 9、 一 个 4 阶 加 法 群 G, ,一 个 g 阶乘 法 群 G: ,以 及 加 
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法 群 Gi 的 一 个 生成 元 ,并且 要 求 群 Cu 和 Gs。 上 的 离散 对 数 问题 是 困难 的 。 系 统 再 选取 一 
个 双 线 性 映射 e: Gi XG 一 Gs。。 假 定 系统 中 所 有 用 户 事先 共享 一 个 群 G1 中 的 点 Q。 

具体 步骤 : 

(D A 随机 选取 一 个 元 素 4a,1<a<g 一 1, 计 算 ss 一 aP, 并 将 s REIS B. 

(2) B 随机 选取 一 个 元 素 5,1<b<g 一 1, 计 算 ss 一 bP, 并 将 ss 发 送 给 A. 

G) A 接收 到 B 发 送 的 消息 后 ,首先 计算 共享 密 钥 二 e(ss，Q)" ,然后 将 ss 用 共享 密 
SA k 加密, 最 后 将 加 密 的 信息 发 送 给 B. 

(D B 接收 到 A 发 送 的 消息 后 ,首先 计算 共享 密 钥 上 二 eC(ss，Q)' ,然后 将 se 用 共享 密 钥 
k 加 密 , 最 后 将 加 密 的 信息 发 送 给 A。 

(5) A 接收 到 B 发 送 的 加 密 消息 后 ,用 共享 密 钥 解密 ,并 验证 解密 的 消息 是 否 与 接 
收 的 消息 se 一 致 。 

(6) B 接收 到 A 发 送 的 加 密 消 息 后 ,用 共享 密 钥 解密 ,并 验证 解密 的 消息 是 否 与 接 
收 的 消息 YA 一 致 

在 这 个 协议 中 ,前 面 两 条 消息 用 来 建立 会 话 密 钥 , 后 面 两 条 消息 用 来 确认 会 话 密 钥 。 


10.3 基于 身份 的 密 钥 交换 协议 


Okamoto 协议 是 第 一 个 基于 身份 的 密 钥 协商 协议 2 。 

协议 10.29 Okamoto 基于 身份 的 密 钥 协 商 协议 。 

参数 设置 : 

系统 中 的 可 信服 务 器 TA 选择 两 个 适合 的 大 素数 p 和 9g, 并 计算 n= pa, TA 再 选取 两 
个 RSA 密码 算法 参数 e。 和 d, 即 ed 三 1 mod (g(n)), 以 及 一 个 与 p 和 g 都 互 素 的 数 g ,并 保 
证 g 有 较 高 的 阶 数 。TA 公开 n、e Ag ,其 他 参数 保密 。 

任何 用 户 在 使 用 密 钥 协商 协议 之 前 需要 向 TA 注册 ,从 而 获得 身份 的 私 钥 。 用 户 A 的 
身份 信息 为 一 个 模 n 的 整数 IDA TA 计算 用 户 A 的 私 钥 为 (IDA)“, 并 将 其 安全 地 发 送 给 
用 户 A; 用 户 A 的 身份 信息 为 一 个 模 的 整数 IDs TA 计算 用 户 A 的 私 钥 为 (IDs)™ ,并 将 
其 安全 地 发 送 给 用 户 B。 

有 具体 步骤 : 

(D A 随机 选取 一 个 元 素 4a,1<a<g 一 1, 计 算 sa — IDA) "g* ,并 将 sa 发 送 给 B. 

(2) B 随机 选取 一 个 元 素 5,1<6b<q 一 1, 计 算 ss 二 (IDs)“g* ,并 将 ss 发 送 给 A。 

G) A 接收 到 B 发 送 的 消息 后 ,计算 共享 密 钥 k= Csr) ADR). 

(4) B 接收 到 A 发 送 的 消息 后 ,计算 共享 密 钥 k= Cs.) CID,” 

应 用 Okamoto 基于 身份 的 密 钥 协商 协议 ,A 与 B 最 终 的 共享 密 钥 为 大 二 8” 。 由 此 可 
知 ,一 个 攻击 者 要 想 计算 上 ,他 需要 知道 随机 数 Hb., Okamoto 基于 身份 的 密 钥 协 商 协议 
使 用 了 参与 双方 的 身份 信息 ,因此 可 以 提供 密 钥 认证 。 

协议 10.30 Günther 基于 身份 的 密 钥 协商 协议 S 。 

参数 设置 : 

系统 中 的 可 信服 务 器 TA 选择 一 个 适合 的 大 素数 p, 以 及 Z, 上 的 一 个 9 阶乘 法 生成 元 
g. TA 再 选取 自己 的 私 钥 s 并 计算 对 应 的 公 钥 g* mod pe TA 选取 一 个 单 向 函数 hh。 
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任何 用 户 在 使 用 密 钥 协商 协议 之 前 需要 向 TA 注册 ,从 而 获得 身份 的 私 钥 。 用 户 A 的 
身份 信息 是 以 用 户 的 标识 符 为 变量 的 单 向 函数 h 的 函数 值 , 即 IDs 一 h(A)。 在 注册 阶段 ， 
HP A 从 TA 处 得 到 一 个 ElGamal 签名 (ua， va): TA 随机 选取 一 个 与 p 一 1 互 素 的 整数 
z,1<z 和 dg 一 1, 计 算 wA 一 gr ,va 二 (IDa 一 sun)/z。 同 样 ,用 户 B 的 身份 信息 为 ID =B), 
在 注册 阶段 ,用 户 B 从 TA 处 得 到 一 个 ElGamal 签名 (us，vs): TA 随机 选取 一 个 与 p 一 1 
互 素 的 整数 >,1 委 > 入 g 一 1, 计 算 uns =g, vs — (IDs — sus) / y. 

具体 步骤 : 

(D A 将 自己 的 标识 符 A 和 ElGamal 签名 中 的 wu 一 起 发 送 给 B。 

(2) B 接收 到 消息 ,首先 计算 X= gA Ca ,然后 将 自己 的 标识 符 B 和 ElGamal 签 
名 中 的 us 一 起 发 送 给 A。 

(3) A 接收 到 消息 ,首先 计算 Xa — oe" Cg! ) ,然后 人 随机 选取 一 个 元 素 a 1a 
4 一 1, 计 算 s, =g" mod p, 并 将 RIA B. 

(4) B 接收 到 消息 ,然后 随机 选取 一 个 元 素 5,1<5<gq 一 1, 计 算 ss — g^ mod p, 并 将 ss 
发 送 给 A。 

(5) A 接收 到 消息 ,计算 共享 密 钥 二 (s8)™* (Xa)"。 

(6) B 计算 共享 密 钥 二 Csa)” (Xp)? 

从 理论 上 讲 ,Giinther 基于 身份 的 密 钥 协商 协议 容易 遭受 类 似 于 那些 应 用 于 MTI 密 钥 
协商 协议 的 已 知 密 钥 攻击 。 

基于 数论 问题 的 身份 密码 体制 一 直 没 有 得 到 广泛 应 用 ,这 是 由 于 有 的 体制 需要 防 算 改 
的 硬件 支持 ,有 的 体制 用 来 解析 用 户 私 钥 的 效率 低下 ,有 的 体制 甚至 不 能 抵抗 一 些 用 户 的 合 
谋 攻击 等 。2001 年 ,Boneh 和 Franklin 利用 双 线 性 映射 为 数学 工具 ,设计 了 第 一 个 实用 的 
基于 身份 的 加 密 体制 。 这 一 成 果 使 得 基于 身份 的 密码 体制 的 研究 和 应 用 取得 了 突破 性 进 
展 ,这 样 的 进展 同样 表现 在 基于 身份 的 密 钥 协商 协议 中 。 

协议 10.31 Smart 基于 身份 的 密 钥 协商 协议 。 

参数 设置 : 

系统 中 的 可 信服 务 器 TA 选择 并 公布 一 个 适合 的 大 素数 9、 一 个 a 阶 加 法 群 G,、 一 个 4 
阶乘 法 群 G: ,以 及 加 法 群 G1 的 一 个 生成 元 P, 并 且 要 求 群 G, 和 Gs 上 的 离散 对 数 问题 是 困难 
的 。 系 统 再 选取 一 个 双 线 性 映射 e: G X G1 一 Gs 和 一 个 将 二 进 制 串 映射 到 C 的 单 向 函数 
h. TA 再 选取 自己 的 私 钥 ;并 计算 对 应 的 公 钥 SP. 

任何 用 户 在 使 用 Smart 基于 身份 的 密 钥 协 商 协议 之 前 需要 向 TA 注册 ,从 而 获得 身份 
的 私 钥 。 如 果 一 个 用 户 的 身份 信息 为 ID,TA 计算 这 个 用 户 公 钥 为 Q 二 (ID) , 私 钥 为 ;Q。 

在 执行 密 钥 协商 协议 之 前 ,用 户 A 获取 的 公 钥 为 QA ,对 应 的 私 钥 为 ;Qa ;用户 B 获取 
的 公 钥 为 Qa, 对 应 的 私 钥 为 ;Qs 。 

具体 步骤 : 

CD A 随机 选取 一 个 元 素 a,1<a<g 一 1, 计 算 ss 一 aP, 并 将 SAXIS B. 

(2) B 随机 选取 一 个 元 素 5,1<6b<q 一 1, 计 算 ss 一 bP, 并 将 ss 发 送 给 A. 

G) A 接收 到 B 发 送 的 消息 后 ,计算 共享 密 钥 k 二 eC(aQs，(sP))e((sQa)， ss)。 

(4) B 接收 到 A 发 送 的 消息 后 ,计算 共享 密 钥 hk 二 e(bQs,，(sP))e((sQs), sa)。 

应 用 Smart 基于 身份 的 密 钥 协商 协议 ,A 与 B 的 共享 密 钥 为 k 一 eC(aQs 十 bQa，(sP))。 
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Smart 启发 式 地 分 析 了 协议 的 安全 性 ,但 是 Skim 指出 Smart 基于 身份 的 密 钥 协商 协议 并 不 
满足 完美 的 前 向 安全 性 5 。 

协议 10.32 Chen-Kudla 基于 身份 的 密 钥 协商 协议 c 。 

参数 设置 

系统 中 的 可 信服 务 器 TA 选择 并 公布 一 个 适合 的 大 素数 9、 一 个 a 阶 加 法 群 G1 一 个 q 
Br HEE HE Ge ,以 及 加 法 群 G1 的 一 个 生成 元 P, 并 且 要 求 群 G1, 和 G。 上 的 离散 对 数 问 题 是 困难 
的 。 系 统 再 选取 一 个 双 线 性 映射 e: Gi X G1 一 Gs 和 一 个 将 二 进 制 串 映射 到 Gi 的 单 向 函数 
h, TA 再 选取 自己 的 私 钥 s 并 计算 对 应 的 公 钥 SP 。 

任何 用 户 在 使 用 Chen-Kudla 基于 身份 的 密 钥 协商 协议 之 前 需要 向 TA 注册 ,从 而 获得 
身份 的 私 钥 。 如 果 一 个 用 户 的 身份 信息 为 ID, TA 计算 这 个 用 户 公 钥 为 Q 二 (ID) AH 
为 sQ. 

在 执行 密 钥 协商 协议 之 前 ,用 户 A 获取 的 公 钥 为 Q ,对 应 的 私 钥 为 ;Qs ;用 户 B 获取 
的 公 钥 为 Qs, 对 应 的 私 钥 为 ;Qs o 

具体 步骤 : 

CD A 随机 选取 一 个 元 素 4a,1<a<g 一 1, 计 算 sa =aQy ,并 将 SA 发 送 给 B。 

(2) B 随机 选取 一 个 元 素 56,1<b<gq 一 1, 计 算 ss 一 bQs ,并 将 5p RIK A. 

G) A 接收 到 B 发 送 的 消息 后 ,计算 共享 密 钥 kela), ss 十 aQe)。 

(4) B 接收 到 A 发 送 的 消息 后 ,计算 共享 密 钥 二 e((sQs)， sa 十 bQa)。 

应 用 Chen-Kudla 基于 身份 的 密 钥 协商 协议 ,A 与 B 的 共享 密 钥 为 K 一 ce(Qa Quer, 
在 Bellare-Rogaway 模型 下 ,如 果 攻 击 者 不 使 用 Reveal 询问 ,Chen 和 Kudla 给 出 了 协议 的 
安全 性 证 明 。 

协议 10.33  McCullagh-Barreto 基于 身份 的 密 钥 协 商 协议 2 。 

参数 设置 : 

系统 中 的 可 信服 务 器 TA 选择 并 公布 一 个 适合 的 大 素数 gq 一 个 g 阶 加 法 群 G .一 个 q 
阶乘 法 群 G: ,以 及 加 法 群 C 的 一 个 生成 元 已 ,并 且 要 求 群 Cu 和 G: 上 的 离散 对 数 问题 是 困难 
的 。 系 统 再 选取 一 个 双 线 性 映射 e: G XG, >G, 和 一 个 将 二 进 制 串 映射 到 CF(9) 的 单 向 函 
Mh, TA 再 选取 自己 的 私 钥 ;并 计算 对 应 的 公 钥 sP 。 

任何 用 户 在 使 用 McCullagh-Barreto 基于 身份 的 密 钥 协商 协议 之 前 需要 向 TA 注册 ， 
从 而 获得 身份 的 私 钥 。 如 果 一 个 用 户 的 身份 信息 为 ID,TA 计算 这 个 用 户 的 公 钥 为 R= 
h ID) P+sP 55828 AAD) +s) P, 

在 执行 密 钥 协商 协议 之 前 ,用 户 A 获取 的 公 钥 为 Q4 =h ODA) PH 5P SED BA 9308 
Sa=(h Da) 7527 P; HP B 获取 的 公 钥 为 Qs 一 h(IDs)P 十 sP, 对 应 的 私 钥 为 Ss 一 
hD) HS P, 

具体 步 又: 

(1) A 随机 选取 一 个 元 素 4a,1<a<g 一 1, 计 算 s, —aQs ,并 将 sa 发送 给 B。 

(2) B 随机 选取 一 个 元 素 5,1<6b<q 一 1, 计 算 ss 二 5bQ。 ,并 将 se 发 送 给 A. 

(3) A 接收 到 B 发 送 的 消息 后 ,计算 共享 密 钥 km eu. SAY. 

(4) B 接收 到 A 发 送 的 消息 后 ,计算 共享 密 钥 ke(s,, Sp)’. 

应 用 McCullagh-Barreto 基于 身份 的 密 钥 协商 协议 ,A 与 B 的 最 终 共享 密 钥 为 k 二 e(P， 
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P)", fr Bellare-Rogaway 模型 下 ,如果 攻 击 者 不 使 用 Reveal 询问 和 单 向 函数 的 询问 ， 
McCullagh 和 Barreto 给 出 了 协议 的 安全 性 证 明 。 后 来 , Xie 指出 了 这 个 协议 的 一 个 漏 
WA”) ,并 给 出 了 一 个 改进 方案 。 然 而 ,Choo 指出 原 方案 和 改进 方案 还 是 存在 安全 隐患 3] 。 

协议 10.34 Wang-Yao-Jiang 基于 身份 的 密 钥 协 商 协议 5 。 

参数 设置 : 

系统 中 的 可 信服 务 器 TA 选择 并 公布 一 个 适合 的 大 素数 9、 一 个 a 阶 加 法 群 G,、 一 个 4 
阶乘 法 群 G: ,以 及 加 法 群 G1 的 一 个 生成 元 P, 并 且 要 求 群 G, 和 G, 上 的 离散 对 数 问 题 是 困难 
的 。 系 统 再 选取 一 个 双 线性 映射 e: Gi XG 一 Gs 一 个 将 二 进 制 串 映射 到 Gi 的 单 向 函数 
和 一 个 Hash ARH. TA 再 选取 自己 的 私 钥 s 并 计算 对 应 的 公 钥 RR 二 sP。 

任何 用 户 在 使 用 Wang-Yao-Jiang 基于 身份 的 密 钥 协商 协议 之 前 需要 向 TA 注册 ,从 而 
获得 身份 的 私 钥 。 如 果 一 个 用 户 的 身份 信息 为 ID. TA 计算 这 个 用 户 公 钥 为 Q 二 h(ID), 私 
HH ;Q。 

在 执行 密 钥 协商 协议 之 前 ,用 户 A 获取 的 公 钥 为 Q ,对 应 的 私 钥 为 ;Qs ;用 户 B 获取 
的 公 钥 为 Qs, 对 应 的 私 钥 为 ;Qs 。 

具体 步骤 : 

(OD A 随机 选取 一 个 元 素 a 1«asczq— 1. iE $E sa =aP,ta=H(A, B, aP, e(aP, R)) 
十 aR, 并 将 sa 和 ta 发 送 给 B。 

(2) B 随机 选取 一 个 元 素 b,1<b<g 一 1, 计 算 ss =bP,te= H(B, A, bP, e(bP, R))+ 
bR HH sp All tp RIA A, 

(3) A 接收 到 B 发 送 的 消息 后 ,验证 elte, P) —eCHCB, A, sp, e(sp, R)) ss, RIFE 
否 成 立 。 如 果 等 式 成 立 ,A 计算 共享 密 钥 k 二 H(A, B, ass (sys R)")。 

(4) B 接收 到 A 发 送 的 消息 后 ,验证 elta, P)=eC HCA, B, sa，e(sa，R)) 十 sa，R) 是 
否 成 立 。 如 果 等 式 成 立 ,B 计算 共享 密 钥 大 一 HOA, B, bsa, elsa, RD"). 

应 用 Wang-Yao-Jiang 基于 身份 的 密 钥 协商 协议 ,A 与 B 的 最 终 共享 密 钥 为 k 二 HA, 
B, abP, elabP，R)), 这 个 共享 密 钥 与 用 户 的 身份 信息 无 关 。 文 献 [44j 也 给 出 了 协议 的 安 
全 性 证 明 , 并 探讨 了 协议 的 安全 性 质 。 

上 面 所 述 的 基于 身份 的 密 钥 协商 协议 ,协议 的 参与 方 都 是 两 个 。 此 外 ,还 有 参与 方 为 3 
个 的 基于 身份 的 密 钥 协 商 协议 ,如 Zhang-Liu-Kim 基于 身份 的 密 钥 协 商 协议 "3 。 

协议 10.35 Zhang-Liu-Kim 基于 身份 的 密 钥 协商 协议 。 

参数 设置 : 

系统 中 的 可 信和 服务器 TA 选择 并 公布 一 个 适合 的 大 素数 9、 一 个 g 阶 加 法 群 G1 一 个 q 
阶乘 法 群 G; ,以 及 加 法 群 G1 的 一 个 生成 元 P, 并 且 要 求 群 G, 和 Gs 上 的 离散 对 数 问题 是 困难 
的 。 系统 再 选取 一 个 双 线 性 映射 e: G XG, >G, ,一 个 将 二 进 制 串 映射 到 GF(g) 的 单 向 函 
数 hh 和 一 个 将 二 进 制 串 映射 到 GF (gq) 的 单 向 函数 。TA 再 选取 自己 的 私 钥 s 并 计算 对 应 的 
公 钥 sP。 

任何 用 户 在 使 用 Zhang-Liu-Kim 基于 身份 的 密 钥 协商 协议 之 前 需要 向 TA 注册 ,从 而 
获得 身份 的 私 钥 。 如 果 一 个 用 户 的 身份 信息 为 ID,TA 计算 这 个 用 户 公 钥 为 Q 一 ACID), 私 
HH sQ. 

在 执行 密 钥 协商 协议 之 前 ,用 户 A 获取 的 公 钥 为 QA ,对 应 的 私 钥 为 ;Qs ;用 户 B 获取 
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的 公 钥 为 Qs, 对 应 的 私 钥 为 ;Qs ;用 户 C 获取 的 公 钥 为 Qc, 对 应 的 私 钥 为 ;Qc 。 

具体 步骤 : 

CD A 随机 选取 一 个 元 素 a ,1 三 a 三 g 一 1, 计 算 s. =aP,ta = H(aP)(sQ。) 十 aP, 并 将 
sA 和 za 发 送 给 B 和 C。 

(2) B 随机 选取 一 个 元 素 5,1<b<g 一 1, 计 算 ss 二 bP , te = HOP) (Qs) HDP, HH se 
和 tp RIE BA AIC. 

(3) C 随 机 选取 一 个 元 素 c ,1 过 cg 一 1, 计 算 sc=cP ote = HOP) GQo +P, HH sc 
TEXAS AMB., 

(4) A 接收 到 B 和 C 发 送 的 消息 后 ,验证 elts ttc, P) — eCH Gg) Qu - HGsc) Qc» sP) 
elss，se)el(sc，sc)。 如 果 等 式 成 立 ,A 计算 共享 密 钥 二 eCss，sc)"。 

(5) B 接收 到 A AC 发 送 的 消息 后 ,验证 eC(ts 十 tc，P) 二 e(H(s,)Qs 十 H(sc)Qc，, sP) 
eCsA，sA)e(sc，sc)。 如 果 等 式 成 立 ,B 计算 共享 密 钥 二 e(ss，sc)*。 

(6) C 接收 到 A 和 B 发 送 的 消息 后 ,验证 elta tte, P)=e( H(5,)Qa+H(sp)Qz, sP) 
elsA，sA)elss，ss)。 如 果 等 式 成 立 ,C 计算 共享 密 钥 k=elsas sa)"。 


10.4 基于 口令 的 密 钥 协商 协议 


前 面 所 述 的 密 钥 协商 协议 ,如 果 需 要 提供 认证 功能 ,一 般 都 需要 通信 双方 已 经 共享 了 一 
个 长 期 密 钥 ,比如 参与 者 的 公 钥 或 者 身份 等 信息 ,然后 利用 长 期 密 钥 来 生成 一 个 会 话 密 钥 。 
在 接 下 来 的 通信 中 ,使 用 会 话 密 钥 进行 加 密 信息 或 者 认证 消息 。 但 是 ,这 些 长 期 密 钥 在 使 用 
过 程 中 可 能 并 不 是 很 方便 ,比如 需要 验证 公 钥 的 正确 性 等 。 

在 实际 应 用 中 ,人 们 总 是 倾向 于 使 用 便于 记忆 的 密 钥 。 口 令 是 一 种 被 广泛 使 用 的 密 钥 
形式 , 它 通常 长 度 比较 短 、 随 机 性 较 差 ,但 是 便于 记忆 和 使 用 。 为 了 方便 参与 者 之 问 进行 认 
证 ,人 们 提出 了 基于 口令 的 密 钥 协商 协议 。 基 于 口令 的 密 钥 协 商 协议 允许 共享 一 个 口令 的 
两 个 实体 之 间 完 成 相互 认证 ,并 建立 一 个 会 话 密 钥 。 

基于 口令 的 密 钥 协商 协议 给 人 的 直觉 印象 是 比较 难以 实现 ,因为 口令 包含 的 信息 较 少 ， 
攻击 者 容易 发 起 字典 攻击 。1989 年 ,Lomas 等 人 提出 了 第 一 个 基于 口令 的 协议 9, 在 这 个 
协议 中 ,用 户 和 服务 器 之 间 共 享 一 个 口令 ,并 且 要 求 用 户 知道 服务 器 的 公 钥 。 后 来 ,Bellovin 
和 Merritt 提出 了 加 密 密 钥 协商 协议 的 概念 ", 这 是 第 一 个 严格 意义 上 的 基于 口令 的 密 钥 
协商 协议 。 加 密 密 钥 协 商 协议 的 一 般 思 想 是 用 共享 的 口令 加 密 需 要 发 送 的 临时 公 钥 。 

协议 10.36 加 密 密 钥 协商 协议 (EKE 协议 ) 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 以 及 Z, 的 一 个 乘法 生成 元 g ,同时 给 出 一 个 安 
全 参数 工 。 假 定 pw 为 用 户 A 和 用 户 B 共享 的 口令 。 

具体 步骤 : 

CD A 随机 选取 一 个 元 素 a,1<a<p 一 2, 计 算 s, — g" mod p, 并 将 s。 用 共享 的 口令 pw 
加 密 , 然 后 发 送 给 B。 

(2) B 收 到 消息 后 ,首先 随机 选取 一 个 元 素 0,1 委 2 和 一 2 ,计算 sse 一旦 mod p, JH ss 
用 共享 的 口令 pw 加 密 ,其 次 B 用 共享 口令 pw 解密 收 到 的 消息 得 到 e* ,计算 会 话 密 钥 k= 
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Cg")? ,再 其 次 B 选取 一 个 随机 数 ns ,1 三 ne 三 2" ,并 用 会 话 密 钥 加 密 ,最 后 ,B 将 两 个 加 密 
的 消息 发 送 给 A。 

(3) A 接收 到 消息 后 ,首先 用 共享 口令 pw 解密 收 到 的 第 一 部 分 消息 得 到 g’ ,计算 会 话 
密 钥 上 二 (gs*)", 其 次 A 用 会 话 密 钥 解密 收 到 的 第 二 部 分 消息 得 到 ns ,再 其 次 A 选取 一 个 随 
PLR ny Kna <2" ,并 将 ns 和 ng 一 起 用 会 话 密 钥 k 加 密 , 最 后 用 户 A 将 加 密 的 消息 发 送 给 
用 户 B。 

(4) B 接收 到 消息 后 ,用 会 话 密 钥 解密 收 到 的 消息 得 到 ns 和 ne ,检查 ss 是 否 与 自己 选 
择 的 随机 数 一 致 ,如 果 一 致 ,B 将 ns 用 会 话 密 钥 k 加 密 , 并 将 加 密 的 消息 发 送 给 A。 

C» A 接收 到 消息 后 ,用 会 话 密 钥 解密 收 到 的 消息 得 到 m ,检查 sa 是 否 与 自己 选择 的 
随机 数 一 致 。 

文献 L[48] 讨 论 了 EKE 协议 的 安全 性 。 与 此 同时 ,文献 [49] 提 出 了 另 一 个 版 本 的 加 密 
密 钥 协商 协议 , 称 为 口令 认证 密 钥 协商 协议 。 

协议 10.37 口令 认证 密 钥 协商 协议 (PAK 协议 ) 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
qq 不 是 p 一 1 的 因子 ,g BZ, 上 的 一 个 g 阶乘 法 生成 元 。 系 统 再 选取 4 个 安全 Hash 函数 
H, ,H:,H;,H,. 

pw 为 一 个 口令 ,用 户 A 拥有 口令 pw, 用 户 B 拥有 口令 pw 的 影子 s=(H (A, B, 
pw)? "^, 

具体 步 又， 

(OD A Bü BL xt C — 4-26 K a1 aq — 1. iE $E sa — g^ mod p,m — (CH, CA, B, 
pw2) as, ,并 将 m 发 送 给 B。 

(2) B 收 到 消息 m 后 ,首先 验证 m mod p 是 否 为 0, 如果 不 为 0,B 计算 sa m/s KK 
B 随机 选取 一 个 元 素 56,1<b<g 一 1, 计 算 ss — g" mod p 和 ko 二 (sa)", 再 其 次 B 计 算 H,(A， 
B, m, ss, ko, ,最 后 ,B 将 ss 和 计算 的 Hash 值 发 送 给 A. 

(3) A 收 到 消息 后 ,首先 计算 kom GO" ,然后 计算 H(A, B, m, spy kos Hi (A, B, 
pw)) ,并 验证 计算 的 Hash 值 与 接收 的 Hash 值 是 否 一 致 ,如 果 一 致 ,A 计算 共享 密 钥 二 
Hi(A, B, m, spy ko, HiCA, B, pw)), 最 后 ,A 计算 Hs(A, B, m, spy kos Hi (A, B, 
pw)) ,并 将 计算 的 Hash 值 发 送 给 B. 

(4) B 收 到 消息 后 ,首先 计算 H(A, B, m, sss kos s) ,然后 验证 计算 的 Hash 值 与 接 
收 的 Hash 值 是 否 一 致 ,如 果 一 致 ,B 计算 共享 密 钥 k= 二 H(A, B, m, sss kos s)。 

口令 认证 密 钥 协商 协议 一 般 用 于 用 户 和 服务 器 之 间 的 密 钥 协商 ,协议 中 的 用 户 B 充当 
服务 器 角色 。 在 口令 认证 密 钥 协商 协议 中 使 用 了 4 个 Hash 函数 ,在 实际 应 用 中 ,这 4 个 
Hash 函数 可 以 用 下 面 方法 得 到 : 将 不 同 的 前 缀 连接 在 输入 数据 上 ,再 用 标准 Hash R% H 
作用 ,例如 ,Hi;(zx) 二 H(i, x), Boyko 等 人 在 提出 口令 认证 密 钥 协商 协议 的 同时 ,给 出 了 该 
协议 在 Shoup 模拟 模型 下 的 安全 性 证 明 。 后 来 ,MacKenzie 给 出 了 口令 认证 密 钥 协商 协议 
在 Bellare-Rogway 模型 下 的 安全 性 证 明 5) 。 

Jablon 提出 了 一 个 类 似 于 EKE 协议 的 口令 密 钥 协商 协议 , 称 为 SPEKE BLU, xx 
密 钥 协商 协议 也 是 以 Diffie-Hellman 密 钥 协商 协议 为 基础 ,与 EKE 协议 不 同 的 是 ,在 
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SPEKE 协议 中 ,口令 是 用 来 定义 Diffie-Hellman 密 钥 协商 的 基数 ,而 不 是 指数 。 

协议 10.38 SPEKE 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p ,并且 使 得 (p 一 1)/2 是 一 个 素数 g, 以 及 一 个 安全 
参数 工 。 系 统 再 选取 3 个 安全 Hash 函数 Hi LH? Hs. 

HIP A 和 用 户 B 拥有 口令 pw. HOF pw WO Z, 中 的 元 素 , 计 算 口 令 的 影子 P= 
pw’ mod p, 

具体 步 又， 

CD A 随机 选取 一 个 元 素 4a,1<a<2" ,计算 s. — P" mod p, 并 将 ss 发 送 给 B。 

(2) B 收 到 消息 ;后 ,首先 随机 选取 一 个 元 素 5,1<b<2' ,计算 ss 二 P* mod p 和 Diffie- 
Hellman 密 钥 ,二 (sa)*, 然 后 B 验证 ,的 值 是 否 为 一 1.0、1, 如 果 不 是 ,B 计 算 Hi (sas se， 
ky, pw), Ba B 将 ss 和 计算 的 Hash 值 发 送 给 A. 

(3) A 收 到 消息 后 ,首先 计算 Diffie-Hellman 密 钥 ko 一 (se)", 然 后 计算 Hi (CsA，sa， 
kos pw) ,并 验证 计算 的 Hash 值 与 接收 的 Hash 值 是 否 一 致 ,如 果 一 致 ,A 计算 共享 密 钥 
k— Hs Ga) ,最 后 A TE Ho Gas ses kos pw) ,并 将 计算 的 Hash 值 发 送 给 B. 

(4) B 收 到 消息 后 ,首先 计算 Ho Gas sss kos pw) ,然后 验证 计算 的 Hash 值 与 接收 的 
Hash 值 是 否 一 致 ,如 果 一 致 ,B 计算 共享 密 钥 k= H, (ko). 

Wu 提出 了 一 个 安全 远程 口令 协议 5 ,与 EKE 协议 相 比 ,该 安全 远程 口令 协议 效率 更 
高 。 安 全 远程 口令 协议 一 般 用 于 用 户 和 服务 器 之 间 的 密 钥 协商 ,协议 中 的 用 户 B 充当 服务 
器 角色 。 

协议 10.39 安全 远程 口令 协议 (SRP 协议 ) 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p ,并且 使 得 (p 一 1)/2 是 一 个 素数 9。 系 统 再 选取 
一 个 安全 Hash ARH. 
pw 为 一 个 口令 ,用 户 A 拥有 口令 pw, 用 户 B 拥 有 一 个 随机 数 v 和 口令 pw 的 影子 
LU DIR 
(1) A 随机 选取 一 个 元 素 a,1<a<g 一 1, 计 算 sa —8* mod p, 并 将 自己 的 标识 符 A 和 
SA 一 起 发 送 给 B. 

(2) B KEJA 发 送 的 消息 后 ,首先 随机 选取 两 个 元 素 H u,b, u<g 一 1, 然 后 ,B 计 
算 中 间 密 钥 k= GasO^ RBA kK— HCk D MBA S 一 * 十 时 IR. BS .wx 一 起 发 送 
给 A。 

(3) A 收 到 消息 后 ,首先 利用 消息 中 的 v TEE sg" ,其 次 也 计算 中 间 密 钥 ko = 
(S 一 5) PY ,会 话 密 钥 二 HH(ko), 再 其 次 B 计 算 m 一 H(A, B, ko), 最 后 A 将 mi 的 
值 发 送 给 B。 

(4) B 收 到 消息 后 ,首先 计算 有 H(A，B，k。), 然 后 验证 计算 的 Hash 值 与 接收 的 m fh 
是 否 一 致 ,如 果 一 致 ,B 计 算 ms; 二 日 (A, m, ko) BI B YE m BB ERIS A. 

(5) A 收 到 消息 后 ,首先 计算 HOA, m, ko) ,然后 验证 计算 的 Hash 值 与 接收 的 m fi 
是 否 一 致 。 
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Kwon 提出 了 EKE 协议 的 一 个 变形 , 即 基 于 口令 认证 的 密 钥 协商 协议 "9 ,这 个 协议 融 
合 了 其 他 协议 的 一 些 元 素 。 

协议 10. 40 基于 口令 认证 的 密 钥 协商 协议 (AMP 协议 ) 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
q.g 是 Z, 上 的 一 个 4 阶乘 法 生成 元 。 系 统 再 选取 4 个 安全 Hash 函数 H, 、H;、H;、H,。 
pw 为 一 个 口令 ,用 户 A 拥有 口令 pw. AP B 拥有 一 个 随机 数 ”和 口令 pw 的 影子 
具体 步骤 : 

CD A 随机 选取 一 个 元 素 a,1<a<g 一 1, 计 算 s. — g* mod p, 并 将 自己 标识 符 A M sa 
一 起 发 送 给 B。 

(2) B 收 到 A 发 送 的 消息 后 ,首先 随机 选取 一 个 元 素 0,1 委 2 委 q 一 1, 然 后 ,B 计算 T= 
(sas)? e H; Gà» T» A，B) ,中 间 密 钥 k,— GAgO floris BH k— HCl) RAB v. 
工 一 起 发 送 给 A。 

(3) A 收 到 消息 后 ,首先 利用 消息 中 的 ， 计算 =H, Cw, pw) ,然后 吾 计算 e 一 互 :CsA， 
T. A, B) PIRH ko =T H 和 会 话 密 钥 k— H, Ck) ,最 后 AHAH, Ga 上) 并 将 
得 到 的 Hash 值 发 送 给 B. 

(4) B 收 到 消息 后 ,首先 计算 Ay Gas IO ,然后 验证 计算 的 Hash 值 与 接收 的 Hash 值 
是 否 一 致 ,如 果 一 致 ,B 计算 互 !(T, k), BA B 将 计算 的 Hash 值 发 送 给 A。 

(5) A 收 到 消息 后 ,首先 计算 A(T, lO ,然后 验证 计算 的 Hash 值 与 接收 的 Hash 值 是 
否 一 致 

上 面 介绍 的 基于 口令 的 密 钥 协商 协议 都 利用 了 Diffie-Hellman 密 钥 协商 协议 ,此 外 ,还 
有 其 他 方法 来 实现 基于 口令 的 密 钥 协商 协议 。 

Bellovin 和 Merritt 建议 用 口令 加 密 RSA 算法 中 的 公 钥 e, 但 是 ,这 种 方法 容易 受到 攻 
击 。Lucks 提出 了 开放 密 钥 交换 协议 (OKE 协议 )" ,在 该 协议 中 ,RSA 公 钥 用 明文 方式 发 
送 。 后 来 ,MacKenzie 等 发 现 了 RSA 版 的 OKE 协议 的 一 个 攻击 方法 号] ,同时 ,他 们 提出 了 
一 个 新 的 基于 RSA 的 OKE 协议 , 称 为 用 口令 信息 实现 网 络 安全 认证 协议 (简称 SNAPI 
协议 ) 。 

协议 10.41 SNAPI 协 议 。 

参数 设置 ; 

系统 选择 两 个 安全 参数 L M Le 

系统 选取 一 个 Hash 函数 互 , 它 的 输出 长 度 /三 Li 十 L;。 系 统 再 选取 3 个 Hash 函数 
Hi HM Hs ,它们 的 输出 长 度 为 L;。 定 义 集合 Xn 二 {x: z 委 2 一 (2 mod NA(z, N)= 
1). 

JH P A 和 用 户 B 拥有 一 个 共享 口令 pw. 

具体 步骤 : 

CD A 随机 选取 一 个 长 为 工 :的 0,1 符号 串 a. UR RSA AH N flle.25 7° <N<24, 
2h«te« 2h" ,A 将 自己 的 标识 符 连 同 随机 符号 串 a AGN 和 e 一 起 发 送 给 B。 

(2) B 收 到 消息 后 ,首先 检查 N 和 e 是 否 在 规定 的 范围 内 ,e 是 否 是 一 个 素数 ,以 及 a 的 
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长 度 是 否 为 工 ,如果 满足 条 件 ,B 随机 选取 一 个 长 为 工 :的 0.1 符号 串 5, 然 后 ,B 计算 p= 
H(N, e, a, b, A, B, pw) ,并 随机 选取 一 个 与 NN 互 素 的 整数 1 ,如果 p 不 属于 集合 Xn, 令 
9 二 了 ,否则 ,计算 g 二 pf mod N, 最 后 ,B 将 b dla 一 起 发 送 给 A。 

G) A 收 到 消息 后 ,首先 检查 5 的 长 度 是 否 为 L,, 以 及 g 和 NN EGER. MRR 
Bit p— HON. e, a, b, A, B, pw) ,并 检查 p 是 否 属于 集合 Xn, 如 果 不 属于 ,协议 终 
止 , 如 果 属 于 ,计算 f= (gq/p)* mod N, KAA HA r—HiON ce. a,b, A, B, q, D HR 
A tr WERZA B. 

(4) B 收 到 消息 后 ,首先 检查 q 是 否 属于 集合 Xn ,如 果 不 属于 则 协议 终止 ,如 果 属 于 则 
计算 r= 二 Hi(N,e, a, b, A, B, q, f) ,然后 B 验证 计算 的 r 的 值 与 得 到 的 Hash 值 是 否 一 
致 ,如 果 通 过 验证 ,B 计 算 +: 一 H,(N, e, a, b, A, B, gq, f), 以 及 会 话 密 钥 K— HON e, 
a,b, A, B, q, 让), 最 后 B Ec 的 值 发 送 给 A。 

(5) A 收 到 消息 后 ,首先 计算 t= 二 HH,(N, e, a b. A, B, q, /) ,然后 A 验证 计算 的 t 值 
与 接收 的 Hash 值 是 否 一 致 ,如 果 一 致 ,A 计算 会 话 密 钥 一 H;(N, e, a, b, A, B, q, D. 

除了 使 用 RSA 加 密 算法 来 实现 基于 口令 的 密 钥 协商 协议 之 外 ,Lee 等 还 提出 了 一 个 利 
用 Nyberg-Rueppel 协议 实现 的 基于 口令 的 密 钥 协 商 协议 59 。 

协议 10.42 Lee-Sohn-Yang-Won 基于 口令 的 密 钥 协商 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
q g 是 Z, 上 的 一 个 g 阶乘 法 生成 元 。 系 统 再 选取 两 个 安全 的 Hash 函数 Hi Ho. 

pw 为 一 个 口令 ,用户 A 拥有 口令 pw, 用 户 B 拥 有 口令 pw 的 影子 s—g 7m, 

具体 步 又: 

CD A 首先 随机 选取 两 个 元 素 a Mr Ka, r<q—1, AJ A iE SE e — g" mod p, f= 
r+eH,(pw) mod q, 最 后 A 将 自己 的 标识 符 A 连同 e 和 了 一 起 发 送 给 B。 

(2) B 收 到 消息 后 ,首先 计算 sa sale ,然后 B 随机 选取 一 个 元 素 5,1<b<g 一 1, 计 算 
sp 二 g* mod p,JEXE 8:9] k= (sa) ike: B YERE Hi Ck, e, D FFE ss 和 计算 的 Hash 值 一 起 
发 送 给 A。 

(3) A 收 到 消息 后 ,首先 计算 共享 密 钥 k— (ss) ,然后 A 计算 Hi Ck, e, D ,并 验证 计 
算 的 Hash 值 与 接收 的 Hash 值 是 否 一 致 ,如 果 一 致 ,A 计算 Hi CE，se), 最 后 A 将 计算 的 
Hash 值 发 送 给 B。 

(4) B 收 到 消息 后 ,计算 H Ck, sp) FF ARIES AY Hash 值 与 接收 的 Hash 值 是 否 
一 致 。 
在 Lee-Sohn-Yang-Won 基于 口令 的 密 钥 协商 协议 中 ,用 户 A 所 需要 的 计算 资源 比较 
少 。 这 个 协议 可 以 抵抗 被 动 攻击 ,不 能 抵抗 主动 攻击 。 一 个 攻击 者 C 可 以 随机 选择 一 个 数 
c, 计 算 e=g mod p, 再 随机 选择 一 个 数 fF Ave. f 一 起 发 送 给 用 户 B。 这 样 ,攻击 者 C 
知道 用 户 B 计算 的 共享 密 钥 二 (0 0907, fel SHIP B 发 送 的 消息 sp，Hi Ck, e, 
记 后 ,攻击 者 可 以 猜测 一 个 口令 writ ko (s) th= ACh, e, ,通过 比较 
的 值 与 收 到 的 Hash 值 ,攻击 者 可 以 验证 猜测 的 口令 是 否 正确 。 

上 面 介绍 了 几 个 基于 口令 的 密 钥 协商 协议 ,下 面 介绍 一 个 基于 口令 的 密 钥 分 配 协议 BI 
GLNS 秘密 公 钥 协议 。 在 GLNS 秘密 公 钥 协议 中 ,有 两 个 用 户 和 一 个 服务 器 ,每 个 用 户 与 
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服务 器 之 间 共 享 一 个 秘密 口令 ,最 终 服务 器 为 两 个 用 户 选择 一 个 会 话 密 钥 ,并 且 安 全 地 发 送 
给 两 个 用 户 。 

协议 10.43 GLNS 秘密 公 钥 协议 5 。 

参数 设置 : 

协议 包括 两 个 用 户 A、B 和 一 个 服务 器 S。 系 统 选取 两 个 安全 的 Hash 函数 H H: o 

FAP A 和 服务 器 S 共享 一 个 口令 pwa, 用 户 B 和 服务 器 S 共享 一 个 口令 pwb。 

具体 步骤 : 

(OD 如 果 A 想 要 和 B 建立 会 话 密 钥 ,他 将 A 和 B 的 标识 符 一 起 发 送 给 S。 

(2) S 收 到 A 发 送 的 消息 后 ,首先 选取 一 个 随机 数 ns ,两 个 临时 加 密 公 钥 Ks 和 Ks , 然 
后 将 Ks 用 与 A 共享 的 密 钥 pwa 加 密 , 将 Ks 用 与 B 共享 的 密 钥 pwb 加 密 , 最 后 ,S 将 A 和 
B 的 标识 符 .选取 的 随机 数 ns 和 两 个 加 密 的 临时 加 密 公 钥 一 起 发 送 给 A。 

O) A 收 到 消息 后 ,首先 利用 他 与 S 共享 的 密 钥 pwa 解密 第 一 个 加 密 了 的 临时 公 钥 ,得 
到 Ks, 其 次 ,A 选取 4 个 随机 数 na nA sca cra ,再 其 次 ,A 将 从 S 处 得 到 的 随机 数 xs 用 他 与 
S 共享 的 密 钥 pwa 加 密 , 再 用 得 到 的 临时 加 密 公 钥 Ks 加 密 消息 A、B、na un ca s Epa (ns)， 
最 后 A 将 加 密 的 消息 以 及 ms .rA、Euw(KS) 一 起 发 送 给 B. 

(4) B 收 到 消息 后 ,首先 利用 他 与 S 共享 的 密 钥 pwb 解密 加 密 了 的 临时 公 钥 ,得 到 Ks， 
其 次 ,B 选取 4 个 随机 数 ns no cn ro ELM, BAG A 转发 的 随机 数 xs 用 他 与 S 共享 的 
密 钥 pwb 加 密 ,再 用 得 到 的 临时 加 密 公 钥 Ks 加 密 消息 BLA ons ens ces Epa (ns), 最 后 A 将 
加 密 的 消息 连同 从 A 处 得 到 的 第 一 个 加 密 消息 一 起 发 送 给 S。 

€) S 收 到 消息 后 ,首先 用 临时 公 钥 Ks 对 应 的 私 钥 解 密 第 一 个 加 密 的 消息 ,得 到 ALB. 
na Md sca Epa (ns) ,再 用 他 与 A 共享 的 密 钥 pwa 解密 E, (ns) ,得 到 ns ,并 验证 得 到 的 ns 
是 否 与 自己 选取 的 xs 一 致 ,然后 用 临时 公 钥 Ks 对 应 的 私 钥 解密 第 二 个 加 密 的 消息 ,得 到 B、 
A nig ni «Co Es Cns ) EPH fib 5; B 共享 的 密 钥 pwb 解密 Ew (n) ,得 到 ms, 并 验证 得 到 的 
ns 是 否 与 自己 选取 的 ns 一 致 ,如 果 两 次 验证 都 通过 ,S 随机 选取 一 个 会 话 密 钥 上 ,用 他 与 A 
共享 的 密 钥 pwa 加 密 消息 na 和 kn ,用 他 与 B 共享 的 密 钥 pwb 加 密 消息 wp 和 kns ,最 
后 S 将 两 个 加 密 的 消息 发 送 给 B。 

(6) B 收 到 消息 后 ,首先 用 他 与 S 共享 的 密 钥 pwb 解密 后 面 一 个 加 密 的 消息 ,得 到 ns 
Al kOm ,其 次 B 验证 ne 是 否 与 自己 选取 的 ns 一致 ,如 果 一 致 ,B 将 kns 与 自己 选取 的 ns 
做 异 或 运算 ,得 到 会 话 密 钥 ,再 其 次 ,B 计算 H, (ra ) ,并 将 得 到 的 Hash 值 与 rs 一 起 用 会 
话 密 钥 k 加 密 , 最 后 ,B 将 从 S 处 得 到 的 前 面 一 个 加 密 消息 连同 用 会 话 密 钥 k 加 密 的 消息 
一 起 发 送 给 A。 

(7) A 收 到 消息 后 ,首先 用 他 与 S 共享 的 密 钥 pwa 解密 前 面 一 个 加 密 的 消息 ,得 到 mA 
Al kni ,并且 验 证 na 是 否 与 自己 选取 的 ns 一致 ,如 果 一 致 ,A 将 k 旬 nh 与 自己 选取 的 做 
异 或 运算 ,得 到 会 话 密 钥 ,其 次 ,A 用 会 话 密 钥 解密 后 面 一 个 加 密 的 消息 ,得 到 Hi (ra) 
和 rs, 再 其 次 ,A 计算 H, (ra) ,并 验证 结果 与 得 到 Hash 值 是 否 一 致 , 如果 一 致 ,A 计算 
Hs) ,并 用 会 话 密 钥 大 加 密 ,最 后 A 将 加 密 的 结果 发 送 给 B。 

(8 B 收 到 消息 后 ,首先 用 会 话 密 钥 k 解密 消息 ,得 到 HO) ,然后 B 计算 五 ; (ra) ,最 
后 B 验证 计算 的 Hash 值 与 接收 的 Hash 值 是 否 一 致 。 

在 GLNS 秘密 公 钥 协议 中 ,用 户 A 选取 了 4 个 随机 数 mA nA Cara EX 4 个 随机 数 
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中 ,na 是 用 来 与 服务 器 完成 认证 的 ,并 保证 密 钥 的 新 鲜 性 ,ns 是 用 来 掩饰 会 话 密 钥 ,ca 是 用 
来 随机 化 第 (3) 步 中 的 加 密 消息 的 ,rs 是 用 来 与 用 户 B 认证 。 同 样 ,可 分 析 用 户 B 选取 的 4 
个 随机 数 的 作用 。 由 于 GLNS 秘密 公 钥 协议 比较 复杂 ,后 来 人 们 提出 了 一 些 简 化 的 
pp, 

随 着 计算 机 网 络 的 不 断 发 展 ,需要 为 在 不 同 服务 器 下 的 用 户 建立 会 话 密 钥 。 为 此 ,在 
2002 年 ,Byun 等 人 提出 了 一 个 跨 域 密 钥 协商 协议 ,用 户 到 用 户 的 口令 认证 密 钥 交 换 
协议 [5 。 

协议 10.44 用 户 到 用 户 的 口令 认证 密 钥 交换 协议 (C2C-PAKE 协议 ) 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
q.g 是 Z, 上 的 一 个 g 阶乘 法 生成 元 。 系 统 再 选取 5 个 安全 的 Hash 函数 H, 、H;、H;、H, 和 
Hs, E 是 一 个 对 称 密码 算法 。 

FAP A 和 服务 器 SA 共享 一 个 口令 pwa, 用 户 B 和 服务 器 SB 共享 一 个 口令 pwb, 服 务 
器 SA 和 服务 器 SB 共享 一 个 长 期 会 话 密 钥 K。 

具体 步骤 : 

(D 如 果 A 想 要 和 B 建立 会 话 密 钥 ,他 随机 选取 一 个 元 素 x, 1 三 +g 一 1, 计 算 
Ey Gr) ,并 将 A Al B 的 标识 符 连同 加 密 信息 一 起 发 送 给 SA。 

(2) SA 收 到 A 发 送 的 消息 后 ,首先 用 它 与 A 共享 的 密 钥 pwa 解密 Epa Ce) ,并 且 随 机 
选取 两 个 元 素 y Mr. l<y, rq 一 1, 计 算 Ege Ce?) Al gs KEM SA 产生 一 个 票据 
Tickets = Ex (g™"", g’, A, B, L), 其 中 工 是 票据 的 生存 时 间 , 再 其 次 ,SA 计算 R= 
Hi (g?) Egg? Dg, A, B) ,最 后 ,SA 将 Er (g*@g"s A, B), Epa (g?) Ticket, fl L — E 
发 送 给 A。 

(3) A 收 到 消息 后 ,首先 利用 pwa 解密 Eww (g?) 得 到 gh ,然后 A 计算 R=Hi(g*), 并 
FH R fits Es Cg" Og A, BD AMIE g ,最 后 A 将 Tickets、A\L 一 起 发 送 给 B。 

(4) B 收 到 消息 后 ,首先 随机 选取 一 个 元 素 xz',1 过 x'<g 一 1, 然 后 ,B WEE uS Gd 
后 B 将 Tickets E, (g 0.A.B,L 一 起 发 送 给 SB, 

G) SB 收 到 消息 后 ,首先 用 密 钥 K 解密 Tickets 得 到 gr, AA h= H, r), jE 
次 ,SB 随机 选取 一 个 元 素 ndr gq 一 1, 计 算 gn ,再 随机 选取 一 个 元 素 y dy 
gq 一 1, 计 算 R' =H: (g) M Eta Cg”), HEIL MK, SB tH Ex (gh Og", A, BO RI 
Et(g™""""), 最 后 SB 将 Er (am n7" Og, A, B), E, (8), En Cg”) — jg BK 
给 了。 

(6) B 收 到 消息 后 ,首先 用 他 与 SB 共享 的 密 钥 pwb 解密 E,w,(g”) 得 到 g* ,其 次 ,B 计 
R =H: (g), H R' 解 密 消息 Er Cg" 7" Og, A, B) 085] gn" ,从 而 计算 cs 一 
H;Cgr mn) BERE B 随机 选取 一 个 元 素 a,1 委 sa 委 g 一 1, 计 算 E.(g"), 最 后 B 将 
Es (g) E, (g ERSA A, 

C) A 收 到 消息 后 ,首先 由 g 和 pwa ib SE h= H, Cg". HA h fp SEHE. 
Ey (gr) AB) gr n ,其 次 A 计算 es — Hs (gm mro) EFA cs 解密 Es C188] 
g* ,再 其 次 ,A 随机 选取 一 个 元 素 5,1<b<gq 一 1, 计 算 E..(g*) 和 会 话 密 钥 二 日 ;(g”), 最 
后 ,B 计 算 E.(g*), 并 将 EL Cg D Es (Gg) ERZA B. 
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(8) B 收 到 消息 后 ,首先 用 cs 解密 消息 EL Co ) 得 到 g*, 其 次 ,B 计算 会 话 密 钥 大 一 
五:(8”) ,再 其 次 ,B 用 会 话 密 钥 k 解密 消息 EE (g0 ,得 到 eo ,并 验证 g* 是 否 与 自己 选择 的 
8" 一 致 ,如 果 一 致 ,B 计算 E.(g’), 最 后 B 将 El(g*) 发 送 给 A. 

(9) A 收 到 消息 后 ,用 会 话 密 钥 解密 消息 E.(g*) ,得 到 g*, 并 验证 g* 是 否 与 自己 选择 
的 g°— BL. 

在 Byun 等 人 提出 用 户 到 用 户 的 口令 认证 密 钥 交换 协议 时 ,启发 式 地 讨论 了 协议 的 安 
全 性 。 在 此 之 后 ,人 们 对 这 个 协议 的 安全 性 做 了 进一步 的 分 析 ,发 现 了 一 些 对 该 协议 的 攻击 
PW AN xci; 5 , Wang-Wang-Xu tih 内 部 攻击 c 等 ,人 们 提出 了 一 些 改进 方案 ， 
但 是 还 是 存在 一 些 安全 漏洞 。 针 对 现 有 的 攻击 方法 , Yao, Feng 和 Han 提出 了 一 个 改进 
wR 

协议 10.45 IC2C-PAKE 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
9q。 系 统 选取 一 个 将 二 进 制 串 映射 到 Z, 的 单 向 郴 数 互 ,并 且 可 以 找到 一 个 六 (最 小 的 正 整 
数 ) ,使 得 HOw., ID, DÈ Z, 上 的 一 个 9 阶乘 法 生成 元 559 。 系 统 再 选取 4 个 安全 的 Hash 
函数 H, 、H;、H; 和 晶 ,。EE 是 一 个 对 称 密码 算法 。 

JAP A 和 服务 器 SA 共享 一 个 口令 pwa, 用 户 B 和 服务 器 SB 共享 一 个 口令 pwb, 服 务 
器 SA 和 服务 器 SB 共享 一 个 长 期 会 话 密 钥 K. 

具体 步骤 : 

COD 如 果 A 想 要 和 B 建立 会 话 密 钥 ,他 随机 选取 两 个 元 素 r, x! <r, x'<g 一 1, 计 算 
£47 H(pwa, A, ha) mod p fll g — HCA. B. h) mod p, 并 将 A MB 的 标识 符 连同 g7 
G0 一 起 发 送 给 SA。 

(2) SA 收 到 A 发 送 的 消息 后 ,首先 利用 pwa 计算 ga =H (pwa, A, ha) mod p.3fF H. 
随机 选取 两 个 元 素 : 和 les. sg 一 1 以 及 一 个 加 密 密 钥 sk E Cg D ACC ga)” 05 ,其 
次 ,SA 产生 一 个 票据 Ticketes 一 Ek((gr)，s, k, A, B, 工 ) ,其 中 工 是 票据 的 生存 期 ,再 其 
次 ,SA iE R— Hi Cga)” 0) Eg Gk. A, B) ,最 后 SA 将 ER(Csk, A，B) Gr)" „Tickets, 
工 一 起 发 送 给 A 。 

(3) A 收 到 消息 后 ,首先 利用 (ga)* 计 算 R=Hi(((ga)*)”), 然 后 A 用 R 解密 Er(sk， 
A, B) A ifii f] sk, 最 后 A 将 A、B、Tickets \L 一 起 发 送 给 B. 

(4) B 收 到 消息 后 ,首先 随机 选取 两 个 元 素 y、y ,1 三 y, y 过 gq 一 1, 然 后 BitH g= 
H(pwb. B, hs) mod p fllg — HCA. B, h) modp, 最 后 B 将 A、B、g’*、(gs)”、Tickets\L — 
起 发 送 给 SB。 

(5) SB 收 到 消息 后 ,首先 用 密 钥 K 解密 Tickets 得 到 s, go HI sk, JP Hit S ge 一 
H(pwb. B, hs) mod p, 其 次 SB 随机 选取 两 个 元 素 tt ,1<t, t'<q 一 1, 并 且 计 算 (g”*)'、 
(Gp Al (Cg 220" ,再 其 次 ,SB 计算 R — Ha (Gg 0200 WR Ex (g's A, BDA 
E4770 ,最 后 ,SB 将 Er (g^ A, B) Gy Ea (UO ERRA B. 

(6) B 收 到 消息 后 ,首先 利用 (gs) TEE R' — Ha (G0 SEK BAR’ fe BA 
Eg (8 A, B) ,得 到 8 从 而 计算 cs= H, 7), 再 其 次 ,B 随机 选取 一 个 元 素 
a,l<a<q—-1,it® E.C(g) BR B EE C(g 0 RI Ex (gi RRA A, 
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CD A 收 到 消息 后 , 首先 用 大 解密 消息 Es (9 0 BB gr e A 计算 cs 一 
Hs 7 09) ,再 其 次 ,A 随机 选取 一 个 元 素 b,1<b<g 一 1, 计 算 Es.(g*) 和 会 话 密 钥 二 
H, Cg”) H cs 解密 EF.(g") 得 到 g* ,最 后 ,B 计 算 E.(g"), 并 将 E.(g*), EE.,(g*) 一 起 发 送 
给 B。 

(8) B 收 到 消息 后 ,首先 用 cs 解密 消息 Es (ORA g*, 其 次 ,B 计算 会 话 密 钥 k 二 
Hi(g”), 再 其 次 ,B 用 会 话 密 钥 大 解密 消息 Ei(g"), 得 到 g ,并 验证 g* 是 否 与 自己 选择 的 
8" 一 致 ,如 果 一 致 ,B TERE E, Cg) iti B FEE Ca RIK A. 

(9) A 收 到 消息 后 ,用 会 话 密 钥 k 解密 消息 Ek e) ,得 到 g^ ,并 验证 g* 是 否 与 自己 选择 
的 一致。 

基于 口令 的 密 钥 协 商 协议 是 一 类 很 实用 的 密 钥 交换 协议 ,有 着 广阔 的 应 用 前 景 ,但 其 理 
论 基 础 还 不 够 完善 ,针对 这 个 问题 ,我 们 对 基于 口令 的 密 钥 协商 协议 的 设计 与 分 析 问题 进行 
了 系统 研究 ,并 设计 了 一 些 可 证 明 安 全 的 基于 口令 的 密 钥 协商 协议 ,这 些 工 作 已 在 3. 5.2 小 
节 中 做 了 介绍 ,这 里 不 再 著述 。 


10.5 群 组 密 钥 协 商 协议 


群 组 密 钥 协商 协议 是 一 种 网 络 中 两 个 或 更 多 用 户 组 成 的 一 个 子 集 可 以 构建 一 个 共享 密 
钥 ( 如 组 密 钥 ) 的 密 钥 协 商 协议 ,也 称 会 议 密 钥 协 商 协 议 。 本 节 假 定 及 个 参与 者 U， 
Us,，… ,UU, ,如 果 i=j mod n, 则 认为 U; 和 Uj; 是 同一 个 参与 者 。 

在 Diffie-Hellman 提出 第 一 个 两 方 密 钥 协商 协议 之 后 ,Ingemarsson 等 人 在 1982 年 将 
这 个 两 方 密 钥 协 商 协议 推广 到 多 方 密 钥 协商 协议 的 情形 59 。 在 推广 的 密 钥 协商 协议 中 ,所 
有 的 参与 者 组 成 一 个 环 ,第 i 个 参与 者 从 第 i 一 1 个 参与 者 处 接收 信息 ,并 向 第 i 十 1 个 参与 
者 发 送信 息 。 

协议 10.46 Ingemarsson-Tang-Wong 群 组 密 钥 协商 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
gg EZ, 上 的 一 个 4 阶乘 法 生成 元 。 

具体 步骤 : 

CD. 在 第 1 轮 中 ,每 个 用 户 U;(1<i<n) 随 机 选取 一 个 元 素 ri 1r lE en 
mod p, 并 将 g" 发 送 给 Uii. 

(2) 在 第 k 轮 (2 三 k 志 n 一 1) 中 ,用 户 U; 用 在 上 一 轮 中 从 用 户 Ui 处 得 到 的 消息 
givens YB Be AC BY BEL ri; ,计算 granie mod p, FRR grins 
mod p 发 送 给 用 户 Uia, 

G) 在 n 一 1 轮 后 ,所 有 的 用 户 可 以 计算 共享 的 群 组 密 钥 ka gree, 

在 安全 性 方面 ,Ingemarsson-Tang-Wong 群 组 密 钥 协商 协议 可 以 抵抗 被 动 攻击 。 在 效 
率 方面 ,Ingemarsson-Tang-Wong 群 组 密 钥 协商 协议 需要 "一 1 S£ ,每 个 用 户 需要 发 送 n 一 1 
条 消息 ,需要 做 nn 次 客运 算 。 

Steiner 等 人 提出 了 3 个 群 组 密 钥 协商 协议 "中 ,分 别称 为 GDH. 1,GDH. 2 和 GDH. 3。 
这 3 个 群 组 密 钥 协商 协议 可 以 视 为 mgemarsson-Tang-Wong 群 组 密 钥 协商 协议 的 变形 , 它 
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们 最 终 得 到 的 共享 密 钥 都 是 k= gr, 

协议 10.47 GDH. 3 群 组 密 钥 协 商 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
q.g 是 Z,。 上 的 一 个 q 阶乘 法 生成 元 。 

具体 步骤 : 

CD 在 第 1 轮 中 ,用 户 Ul 随机 选取 一 个 元 素 4,1<n 二 gq 一 1, 计 算 g mod p, 并 将 e 
mod p 发 送 给 用 户 Uz. 

(2) 在 第 j SE (2L jn — 2) rh JH P! Uj; 随机 选取 一 个 元 素 rj;,1<r; 二 q 一 1, 利 用 在 上 一 
轮 中 从 用 户 U;-! 处 得 到 的 消息 eni 及 随机 数 n; ,计算 715 mod p, 并 将 gnis 
mod p 发 送 给 用 户 Uj+1 。 

(3) fg n—1 轮 中 ,用 户 U,- 随 机 选取 一 个 元 素 rns Krn Sq 1 AA EE — h 
从 用 户 Un 处 得 到 的 消息 enm 及 随机 数 rnio YE SE gn 70 mod p, FF HF 
gnm mod p 广播 给 协议 所 有 的 参与 者 。 

(4) 在 第 nn 轮 中 ,用 户 U;(1<i<n 一 了 在 收 到 广播 消息 后 ,计算 随机 数 7; 模 p 一 1 的 逆 
万 ,利用 在 上 一 轮 中 从 用 户 U,-! 处 得 到 的 消息 minm Bf EGE Gn nema i mod 
p JE Cg n) mod p 发 送 给 用 户 Uno 

(5) 在 第 n--1 轮 中 ,用 户 Un FE BÉ DLE C PICK ns rn Sq 1 A ES n—1 
轮 中 从 用 户 Un 处 得 到 的 消息 enims 及 随机 数 ,计算 共享 的 群 组 密 钥 k— 
vm mod 力 ,然后 ,用 户 Uu 利 用 在 上 一 轮 中 从 用 户 U; (1<i<n 一 1) 处 得 到 的 消息 
(gii miti )^ 以 及 自己 选取 的 随机 数 ~ 计算 k^ mod p, 最 后 用 户 Unti k^ s kh ues 
ko- 广播 给 协议 所 有 的 参与 者 。 

(6) 用 户 U;(1<i<n 一 1) 在 收 到 广播 消息 后 ,利用 消息 中 的 kx 和 自己 拥有 的 一 ,计算 
共享 的 群 组 密 钥 k— (k^), 

在 效率 方面 ,GDH. 3 群 组 密 钥 协商 协议 需要 "十 1 轮 , 每 个 用 户 需要 发 送 2 条 消息 , 需 
要 做 3 Ue TE CAP U, RE m 次 ) ,此 外 ,协议 还 需要 2 次 广播 。 

为 了 减少 用 户 之 间 的 信息 交换 次 数 ,Becker 和 Wille 提出 了 2 立方 体 群 组 密 钥 协商 
协议 [5 。 

协议 10.48 ”2 立方 体 群 组 密 钥 协 商 协议 。 

参数 设置 ; 

系统 选择 并 公布 一 个 适合 的 大 素数 p 3E EL GE E p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
q.gJÉ Z, 上 的 一 个 g 阶乘 法 生成 元 。 

假定 参与 协议 的 用 户 有 ”一 2 个 ,这 2 个 用 户 分 别 用 4 维 向 量 空间 GF(2)* 中 的 向 量 标 
识 身 份 。 同 时 , 选 定 d 维 向 量 空 间 GF(2)” 中 的 一 组 基 6b1，, bo. nn bao 

具体 步骤 : 

(1) 在 第 1 轮 中 ,对 于 每 一 个 用 户 , 如 果 他 的 标识 向 量 为 v, 那 么 ,U, 随 机 选取 一 个 元 素 
r,l&r,sq— 1 SE tea =g mod p, 并 将 .1 发 送 给 用 户 Use, o 

(2) 在 第 1 轮 消息 交换 完毕 之 后 ,用 户 U, 收 到 了 用 户 Ui 发 送 来 的 消息 te ,用 户 
U, 利 用 消息 t,t6 与 自己 选取 的 随机 数 一 ,可 以 计算 ua = 01,407 mod p, 这 样 ,用 户 U, 
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和 用 户 Uic, 有 了 临时 共享 密 钥 koio 

(3) 在 第 j 轮 (2<j<<n 一 2) 中 ,用 户 U。, 有 一 个 临时 共享 密 钥 ,,;-1 ,他 计算 m gh 
mod p, 并 将 t RAAH Use, o 

(4) 在 第 j 轮 (2<j<<n 一 2) 消 息 交换 完毕 之 后 ,用 户 U, 收 到 了 用 户 Us 发 送 来 的 消息 
toto, FAP! U, 利 用 消息 tt.; 与 自己 拥有 的 临时 共享 密 钥 有 -1 ,可 以 计算 新 的 临时 密 钥 
koj = Cote, mod p RFE, AP UMAY U 有 了 临时 共享 密 钥 Iu. 

(5) 在 第 d 轮 消息 交换 完毕 之 后 ,所 有 用 户 U, 可 以 计算 新 的 临时 密 钥 k,.s, 这 时 ,所 有 
用 户 计算 的 临时 密 钥 的 值 都 相等 ,这 样 所 有 用 户 拥 有 相同 的 会 话 密 钥 有 二 ,a o 

在 不 用 广播 消息 的 条 件 下 ,通过 2 立方 体 群 组 密 钥 协商 协议 ,2 个 用 户 只 需要 d 次 消 
息 交 换 , 就 可 以 获得 群 组 会 话 密 钥 。 

Burmester 和 Desmedt 提出 了 一 个 群 组 密 钥 协商 协议 "9 ,这 个 协议 的 设计 比较 精巧 ， 
在 使 用 广播 消息 的 条 件 下 ,发 送 的 消息 较 少 ,计算 量 也 比较 小 。 

协议 10.49 Burmester-Desmedt 群 组 密 钥 协商 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
gq,8 是 Z,。 上 的 一 个 gq 阶乘 法 生成 元 。 

具体 步骤 : 

CD 在 第 1 轮 中 ,每 个 用 户 U;(1<i<n) 随 机 选取 一 个 元 素 r1 <r <q 1 A ti =g 
mod 妨 , 并 将 # 发 送 给 用 户 U;-1 和 用 户 Usa. 

(2) 在 第 2 轮 中 ,用 户 U;(1<i<n) 收 到 了 用 户 Ui-, 发 送 来 的 消息 t RUP UG 发送 
来 的 消息 ti AA F tin ,以 及 自己 选择 的 随机 数 x;, 用 户 Ui 计算 XX; 二 (tr1/ti-1)" ,并 
将 X; 广 播 给 协议 所 有 的 参与 者 。 

(3) 在 收 到 所 有 的 广播 消息 后 ,用 户 U; 可 以 计算 共享 的 群 组 密 钥 = (CX 
(Xin) 2X16 

执行 完 协议 10. 49, 所 有 用 户 的 共享 密 钥 为 大 一 gm 2 tes tn, 

对 所 有 的 i 所 有 的 下 标 都 是 模 m 意义 上 的 ) 定 义 


Y, = tja = grm 


tar \" gus giant Y 
Scb T ced "Pes Ya 
下 面 的 等 式 可 以 保证 密 钥 计算 正确 进行 。 


zn XOX Pe XL, =Y" (Z y [e NES ) 


IBA SET BUR BS iA 


上 面 介绍 的 群 组 密 钥 协商 协议 都 是 基于 Diffie-Hellman 密 钥 协商 协议 的 ,此 外 ,还 可 以 
用 其 他 方法 来 实现 群 组 密 钥 协商 协议 。 例 如 ,Boyd 提出 了 一 个 利用 一 般 的 加 密 签 名 技术 和 
Hash 函数 构造 的 群 组 密 钥 协商 协议 "” 。 
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协议 10.50 Boyd 群 组 密 钥 协商 协议 。 

参数 设置 : 

系统 选择 并 公布 一 个 安全 的 Hash 函数 H. 

假定 用 户 Di 拥有 自己 的 签名 私 钥 和 对 应 的 验证 公 钥 ,其 他 用 户 Us. n UA 
U 的 验证 公 钥 。 用 户 U，…，U, 拥 有 自己 的 加 密 公 钥 以 及 对 应 的 解密 私 钥 ,用 户 Un 拥有 用 
P Uz, +, U, IEA A 

具体 步骤 : 

(OD 在 第 1 轮 中 ,用 户 UU 随机 选取 一 个 元 素 ,用 自己 的 签名 私 钥 签 名 消息 UL, 
Uz, ,DU,, h(n), 并 将 吕 ,， Ui，…,U,，Sig(Ui ,UU ,…,U,, h(r)) 广 播 给 协议 所 有 的 
参与 者 。 

(2) 在 第 2 轮 中 ,用 户 UU 使 用 用 户 U;(2<i<n) 的 加 密 公 钥 加 密 自己 选择 的 随机 数 ns 


得 到 Ei(n), 并 将 E; G0, Ei Gr» > E, (nr) 广播 给 协议 所 有 的 参与 者 。 
(3) 在 第 3 轮 中 ,用 户 U;(2<i<n) 收 到 用 户 UU 广播 的 两 条 消息 ,首先 对 于 第 二 条 消息 
E: (r1), EG), t. Ex (nm), 用 户 U; 利 用 自己 的 解密 私 钥 解 密 消息 中 的 元 素 E; Gn ,得 到 


随机 数 ri ,然后 用 户 U; 计 算 h(r), 并 利用 用 户 Ui 的 验证 公 钥 验证 第 一 条 消息 U, Uz, es 
U,» SigU,, Uz, ++, Uns h(n)) 中 的 签名 是 否 正 确 ,如 果 签 名 通过 验证 ,用 户 U; 随 机 选取 
一 个 元 素 r;, 并 将 ;广播 给 协议 所 有 的 参与 者 。 

C 收 到 所 有 的 广播 消息 后 ,用 户 U; (2<i<n) 可 以 计算 共享 的 群 组 密 钥 二 MAC, 
(GGQhG;) Q--QhG,)). 

Boyd 群 组 密 钥 协商 协议 的 安全 性 基于 MAC 函数 和 选 定 的 Hash 函数 。 由 于 是 秘密 
发 送 给 协议 的 参与 者 ,因此 ,其 他 人 无 法 计算 共享 密 钥 。 密 钥 的 新 鲜 性 是 由 Hash 函数 保 
证 的 。 

在 讨论 两 个 参与 方 的 密 钥 协商 协议 时 ,讨论 了 基于 身份 的 密 钥 协商 协议 ,同样 ,在 建立 
群 组 密 钥 时 ,也 可 以 构造 基于 身份 的 群 组 密 钥 协商 协议 。 基 于 传统 数论 问题 ,Koyama 和 
Ohta 构造 了 3 个 群 组 密 钥 协商 协议 5 ,此 外 ,还 有 几 个 基于 传统 数论 问题 的 群 组 密 钥 协商 
协议 ,但 是 ,这 些 基 于 身份 的 群 组 密 钥 协商 协议 比较 难以 应 用 。 下 面 介绍 两 个 基于 双 线 性 对 
的 群 组 密 钥 协商 协议 。 

协议 10.51 Yao-Wang-Jiang 基于 身份 的 群 组 密 钥 协 商 协议 2 。 

参数 设置 : 

系统 中 的 可 信服 务 器 TA 选择 并 公布 一 个 适合 的 大 素数 a a 阶 加 法 群 C、 一 个 4 
阶乘 法 群 C: ,以 及 加 法 群 C, 的 一 个 生成 元 已, 并 且 要 求 群 Cl 和 Cs 上 的 离散 对 数 问题 是 困难 
的 。 系 统 再 选取 一 个 双 线 性 映射 e: G X G1 一 Gs 和 一 个 将 二 进 制 串 映射 到 Gs 的 单 向 函数 
h.—^3E 48S Hash 函数 H. TA 再 选取 自己 的 私 钥 s 并 计算 对 应 的 公 钥 尽 一 >P。 

任何 用 户 在 使 用 Yao-Wang-Jiang 基于 身份 的 群 组 密 钥 协商 协议 之 前 需要 向 TA 注册 ， 
从 而 获得 身份 的 私 钥 。 如 果 一 个 用 户 的 身份 信息 为 ID. TA 计算 这 个 用 户 的 公 钥 为 Q— 
h QD) , 私 钥 为 sQ. 

在 执行 密 钥 协商 协议 之 前 ,用 户 U;(1<i<n) 获 取 的 公 钥 为 Q =h CU. ,对 应 的 私 钥 为 
Si 二 sQ;。 记 符号 口 为 UUi, Uz, +, Uno 
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具体 步骤 : 

CD 在 第 1 轮 中 ,对 于 任何 一 个 用 户 U;(1<<i<n) ,他 首先 随机 选取 一 个 元 素 ri ri 
4 一 1, 然 后 用 户 UHA E:=r;P,F;5H(U, e(E;, R))S; 十 rR ,最 后 用 户 UM E; FI ES 
协议 所 有 的 参与 者 。 

(2) 在 第 2 轮 中 ,对 于 任何 一 个 用 户 U; in) ,他 收 到 了 其 他 用 户 U; GL jn. jA 


站 发 来 的 消息 E, RIF; Pi Ac JH P: U; 验 证 收 到 的 EE; 和 下 ;是 否 为 1, 并 且 验 证 等 式 4 MF, 


P) = «(Xin eCE,, RDQ +E, R) 是 否 成 立 , 如 果 通 过 验证 ,用 户 U 构 造 以 下 形式 


f T,T—H(U,, E, ，…，U。， E) ,然后 用 户 Ud EY; rn T. X; rn (GO 一 Ei 十 T), 最 
后 用 户 UH X,Y SRA OA ISSN. 
(3) 在 第 3 轮 中 ,对 于 任何 一 个 用 户 U, Oi o ,他 收 到 了 其 他 用 户 U; Omne ji) 


发 来 的 消息 X, ALY, ,首先 ,用 户 U. 验 证 等 式 。( Dr. P) E 4 DE,, 7) 是 否 成 立 ,如 果 


通过 验证 ,用 户 U 计 算 Z， mE + Do 1— Qt, Yin) R) fü JP Ut 


SC =HG, U, Ey, +, En, Xi, X,, Yi, o Y, ZO, BORA US C; 广 播 给 协议 
所 有 的 参与 者 。 

(4) 对 于 任何 一 个 用 户 U; Corin) ,他 收 到 了 其 他 用 户 U; Os jn jz50 OE BOTH 
C; ,用 户 UE CSHG, U, E, t E, Xis 0o Xas Yoon Yno 2;) 是 否 成 立 , 如 
果 通 过 验证 ,用 户 UGTSECSEBURER BA ET HU, Ey, E,, Xi, XS Yin Y, 
Zis Cis "es C). 

Yao-Wang-Jiang 基于 身份 的 群 组 密 钥 协商 协议 是 一 个 3 轮 的 群 组 密 钥 协 商 协 议 ,文献 
[72] 中 给 出 了 协议 的 安全 性 证 明 。 

协议 10.52 Zhou-Susilo-Mu 基于 身份 的 群 组 密 钥 协商 协议 53 。 

参数 设置 : 

系统 中 的 可 信服 务 器 TA 选择 并 公布 一 个 适合 的 大 素数 9、 一 个 g 阶 加 法 群 G1 .一 个 gq 
阶乘 法 群 C: ,以 及 加 法 群 Gi 的 一 个 生成 元 P, 并 且 要 求 群 G, 和 Gs。 上 的 离散 对 数 问 题 是 困难 
的 。 系 统 再 选取 一 个 双 线 性 映射 e: Gi XG 一 Gs 和 一 个 将 二 进 制 串 映射 到 C 的 单 向 函数 
一 个 将 G; 中 的 元 素 映 射 到 1b 二 进 制 串 的 安全 的 Hash 函数 Hi 和 一 个 输出 为 1b 二 进 制 
串 的 安全 的 Hash 函数 H: TA 再 选取 自己 的 私 钥 s 并 计算 对 应 的 公 钥 R 二 sP。 

任何 用 户 在 使 用 Zhou-Susilo-Mu 基于 身份 的 群 组 密 钥 协商 协议 之 前 需要 向 TA 注册 ， 
从 而 获得 身份 的 私 钥 。 如 果 一 个 用 户 的 身份 信息 为 ID, TA 计算 这 个 用 户 的 公 钥 为 Q— 
h OD) , 私 钥 为 sQ. 

在 执行 密 钥 协商 协议 之 前 ,用 户 U;(1 过 i 过 n) 获 取 的 公 钥 为 Q — h (OUO ,对 应 的 私 钥 为 
SG 一 Qi 。 
具体 步骤 : 

CD 在 第 1 轮 中 ,对 于 任何 一 个 用 户 U;(1<i<n) ,他 首先 随机 选取 Gs 中 的 一 个 元 素 2 ， 
以 及 两 个 随机 数 rA k: ,然后 用 户 UTE P: 二 H(e(S;,Q;)，6;) Ori,1 过 j 过 n,j 关 i, 最 
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后 用 户 UH òo Pas cm Pacis Pus c Pu HiGOG KK LEA DUNA RIS 5 
者 ,这 里 工 ,是 一 个 包含 着 P,, 如 何 与 接收 者 相 联系 的 信息 。 

(2) 对 于 任何 一 个 用 户 UAn) tea Y efi PU; OL jn j2 0 ROBO HE 
D; —(G;, Pias ct Pics Piste tts Pins Vio LO ,用户 U 首 先 利 用 工 ;中 的 信息 找到 适 
当 的 Pi 然后 用 户 Ui 计算 ki =H; CH: GQ) SO < ROOP; DOV; BAAP U; 计 算 共 享 
的 群 组 密 钥 k= kiQ-- Ok Ok. Ok nO Oki. 

上 面 利用 密 钥 协商 技术 来 建立 群 组 密 钥 , 也 可 以 使 用 密 钥 分 配 技术 来 建立 群 组 密 钥 。 
一 个 简单 的 方法 "中 是 一 个 用 户 Ui 首先 和 其 他 用 户 U;(2<i<n) 分 别 利用 Diffie-Hellman 密 
钥 协 商 协议 建立 一 个 临时 密 钥 ; ,然后 用 户 U 选 取 一 个 会 话 密 钥 让 ,最 后 用 户 Ui 用 Ok 
会 话 密 钥 k 并 发 送 给 用 户 U;。 下 面 介绍 一 个 带 有 认证 功能 的 群 组 密 钥 分 配 协议 。 

协议 10.53 Hirose-Yoshida 群 组 密 钥 分 配 协议 5C9 。 

参数 设置 : 

系统 选择 并 公布 一 个 适合 的 大 素数 p, 并 且 使 得 p 一 1 的 因子 中 有 一 个 足够 大 的 素数 
q.gJÉ Z, 上 的 一 个 g 阶乘 法 生成 元 。 

BEAP U, Uz, n U, 各 自 拥 有 自己 的 签名 私 钥 和 对 应 的 验证 公 钥 ,并 且 拥 有 其 他 
用 户 的 验证 公 钥 。 

具体 步骤 

CD 在 第 1 轮 中 ,每 个 用 户 U 随机 选取 一 个 元 素 n 1<ri<q—1, iHi t =g" mod p, 
并 将 广播 给 协议 所 有 的 参与 者 。 

(2) 在 第 2 轮 中 ,用 户 U;(2<i<n) 收 到 了 用 户 Ui 发 送 来 的 消息 后 ,随机 选取 一 个 元 
3 rior: <q 1T t= g' mod p HH CRRA UL. 

(3) 在 第 3 S&P PU, KETARA UU, (i RIKKI t 后 ,在 集合 {8'， 
gcns gn } 中 随机 选取 一 个 元 素 作为 会 话 密 钥 k HHE cj 一 大 6) ,2<i<n, 并 将 ci RIK 
给 用 户 U; 。 

(4) 在 第 4 SE rh. JH PU, 2<i<n) ICI T HP Ui 发 送 来 的 消息 c; 后 ,利用 自己 的 签名 
私 钥 计算 Sig: Ch» c0 ,并 将 Sig: C, cO RRRA U, 。 

(5) 在 第 5 轮 中 ,用 户 Ui 收 到 了 所 有 用 户 U: (2<i<n) 发 送 来 的 消息 Sig Ca» ci) 后 , 利 
用 每 一 个 用 户 U: (2<i<n) 的 验证 公 钥 验证 签名 Sig Cy. ci) 是否 正确 ,如 果 通 过 验证 ,用 户 
Un 利用 自己 的 签名 私 钥 计算 Sig Gi» cO ,并 将 Sigs (t;，c;) 发 送 给 用 户 U; o 

(6) 用 户 U;(2<i<n) 收 到 了 用 户 U 发 送 来 的 消息 Sig (t;， ci) 后 ,利用 每 一 个 用 户 Un 
的 验证 公 钥 验证 签名 Sign Gi ci) 是 否 正确 ,如 果 通 过 验证 ,用 户 U; 可 以 计算 共享 的 群 组 密 
98i k—c/G)^, 

当 用 户 建立 群 组 密 钥 时 ,如 果 参 与 者 比较 多 ,协议 的 效率 会 比较 差 。 为 了 提高 群 组 密 钥 
建立 的 效率 ,文献 [75] 中 提出 了 分 层 的 群 组 密 钥 协商 协议 。 

协议 10.54 分 层 群 组 密 钥 协商 协议 (以 2 层 为 例 ) 。 

参数 设置 ; 

假定 个 用 户 UU, U;,…, U, 想 要 建立 共享 的 群 组 密 钥 。 

系统 根据 选择 使 用 的 群 组 密 钥 协商 协议 公布 适当 的 系统 参数 。 

有 具体 步 又: 
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CD 在 第 1 轮 中 ,个 用 户 依据 计算 能 力 \ 所 在 位 置 等 因素 分 成 若干 个 组 ,每 组 中 选举 一 
个 头 节点 ,这 些 头 节点 组 成 上 一 层 网 络 。 

(2) 在 第 2 轮 中 ,首先 ,在 每 一 个 小 组 中 ,用 户 利用 群 组 密 钥 协 商 协议 建立 一 个 组 内 临 
时 会 话 密 钥 ,然后 小 组 的 头 节点 以 组 内 临时 会 话 密 钥 为 参数 ,建立 一 个 群 组 密 钥 。 

(3) 在 第 3 轮 中 ,每 个 小 组 的 头 节点 将 建立 的 群 组 密 钥 安 全 地 发 送 给 该 小 组 的 每 一 个 
成 员 。 


10.6 小 结 


在 密 钥 交换 协议 方面 目前 已 形成 了 大 量 各 种 各 样 的 标准 。 国 际 标准 组 织 (ISO) 在 密 钥 
交换 协议 方面 主要 有 两 个 系列 标准 ,分 别 是 ISO/IEC 11770 和 ISO 9594—8/ITU X. 509, 
国际 标准 组 织 推出 的 ISO/IEC 11770 包括 4 个 部 分 : 框架 (1996)、 用 对 称 技术 的 机 制 
(1996) ,用 非 对 称 技术 的 机 制 (1999) 和 基于 弱 密 钥 的 机 制 (2006) 。 在 第 二 部 分 中 ,标准 讲述 
了 使 用 对 称 技术 建立 会 话 密 钥 ,包括 有 服务 器 和 没有 服务 器 两 种 情形 。 在 第 三 部 分 中 ,标准 
讲述 了 使 用 非 对 称 技术 建立 会 话 密 钥 , 包 括 密 钥 分 配 和 密 钥 协商 两 种 方式 。 在 第 四 部 分 中 ， 
标准 讲述 了 基于 弱 密 钥 技术 建立 会 话 密 钥 。 此 外 ,在 ISO/IEC 15946 一 3 标准 (2002) 中 , 讲 
述 了 基于 椭圆 曲线 技术 的 密 钥 分 配 协议 和 密 钥 协 商 协议 。 国 际 标准 组 织 推出 的 ISO 
9594 一 8 标准 (1995) ,主要 讲述 公开 密 钥 基础 设施 技术 ,其 中 的 “ 强 认 证 ”部 分 讲述 了 3 个 密 
钥 协 商 协议 。 

国际 电信 联盟 (ITU) 在 密 钥 交换 协议 方面 推出 了 几 个 标准 , 即 ITU X. 509 标准 ITU 
X. 1035 标准 和 ITU X. 1151 标准 等 。ITU X. 509 标准 (1995) 和 国际 标准 组 织 的 ISO 
9594 一 8 标准 一 致 。 在 ITU X. 1035 标准 中 ,讲述 了 基于 口令 的 认证 密 钥 交换 协议 。 在 
ITU X. 1151 标准 (2007) 中 ,为 基于 口令 的 密 钥 交 换 协 议 提供 指南 。 

Internet 工程 任务 组 (IETF) 是 一 个 关注 Internet 体系 结构 演变 和 Internet 平稳 运作 的 
研究 机 构 , 在 IETF 发 布 的 RFC 系列 文档 中 ,推荐 了 一 些 密 钥 交 换 协 议 。 例 如 ,RFC 2412 
(1998) 讲 述 了 Oakley 密 钥 协商 协议 ;RFC 2631(1999) 讲 述 了 Diffie Hellman 密 钥 协 议 ; 
RFC 4120(2005) 讲 述 了 Kerberos 协议 ;RFC 4306(2005) 讲 述 了 互联 网 密 钥 协商 协议 ;RFC 
4346(2006) 讲 述 了 传输 层 安全 协议 等 。 

电子 和 电子 工程 师 研究 院 (IEEE) 推 出 的 IEEE P1363 一 2000 标准 (2000) ,主要 讲述 了 
公开 密 钥 算法 和 密 钥 协商 协议 。 美国 国家 标准 协会 (ANSD 推出 的 与 密 钥 交换 协议 相关 的 
标准 有 X9. 42 标准 (2001) 和 X9. 63 标准 (2002) ,在 这 两 个 标准 中 ,讲述 了 利用 公 钥 技术 建 
立会 话 密 钥 。 

文献 [76] 中 的 第 10 章 和 第 11 章 专 门 介 绍 了 密 钥 分 配 和 密 钥 协商 协议 ,这 是 一 本 很 好 
的 教科 书 , 本 章 部 分 协议 的 分 析 采 用 了 文献 [76] 中 的 表述 方式 。 关 于 密 钥 交换 协议 的 研究 
和 综述 可 进一步 参阅 文献 [77] 一 [83]。 本 书 第 2 篇 的 第 3 一 6 章 也 穿插 讨论 了 多 个 密 钥 交 
换 协 议 ,个 别 协议 可 能 与 本 章 有 重复 ,但 为 了 完整 性 还 是 按 本 章 的 分 类 方式 和 格式 对 这 些 协 
议 做 了 介绍 。 本 章 在 写作 过 程 中 得 到 了 姚 刚 副教授 的 大 力 支持 ,他 提供 了 大 量 的 相关 材料 ， 
作者 在 此 表示 囊 心 的 感谢 。 
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TE 112 RRS MMA 


健忘 传输 (Oblivious Transfer) 协 议 是 一 类 部 分 秘密 泄露 协议 ,又 称 不 经 意 传输 协议 ， 
简称 OT 协议 。OT 协议 可 用 于 实现 安全 多 方 计算 ,也 是 构建 其 他 安全 协议 (如 电话 掷 硬 币 
协议 ) 的 基础 模块 之 一 。 


11.1 基本 OT 协议 
OT 协议 是 由 Rabin 于 1981 年 首次 提出 的 一 种 协议 中 ,在 Rabin 提出 的 OT 协议 模型 
中 ,参见 图 11. 1,A 以 50% 的 概率 向 B 传送 秘密 。 因 此 ,B 有 50% 的 机 会 收 到 秘密 和 50% 


的 机 会 收 不 到 秘密 。 另 一 方面 ,B 将 知道 他 是 否 已 收 到 秘密 ,而 A 则 不 知道 他 自己 是 否 真 
的 给 B 传 送 了 秘密 。 这 也 是 将 这 种 协议 称 为 健忘 传输 协议 的 理由 。 


1 
2 m 
m OT Z my,m, e 
L 1l oT 
2 


图 11.1 Rabin OT 协议 模型 图 11.2 二 择 一 OT 协议 模型 


m, 


Even, Goldreich 和 Lempel 于 1985 4E 5| A T 53 5 — fp n] £k 2g —$&— (One-out-of-two) 
的 OT 协议 号 , 简 记 为 OT;? 或 人 一 OT。 在 此 协议 模型 中 ,参见 图 11. 2 ,发 送 者 拥有 两 个 消 
Bom, 与 mi ,接收 者 拥有 输入 eE {0,1}。 协 议 运行 结束 后 ,接收 者 获得 了 消息 m 而 不 能 得 
到 关于 m1-, 的 任何 信息 ,而 发 送 者 没有 获得 关于 e 的 任何 信息 。 最 基本 的 OTf 是 bitrOTi ， 
此 时 mo ,mE (0,1), OTUESE EY Rabin OT 协议 完全 不 同 ,但 实际 上 它们 是 等 价 的 外， 
即 从 其 中 一 个 出 发 可 以 构造 另外 一 个 。 再 者 ,由 于 OT 形式 简单 且 易于 理解 ,因此 从 其 被 
提出 以 后 ,人 们 对 OT? 协议 的 研究 大 都 针对 OTi 及 其 扩展 形式 展开 。 


11.1.1 Rabin 的 OT 协议 


Rabin 的 OT 协议 要 求 接收 者 以 1/2 的 概率 收 到 发 送 者 发 送 的 秘密 ,而 且 只 有 接收 者 
自己 知道 是 否 正确 收 到 了 发 送 者 的 秘密 。Rabin 基于 二 次 剩余 给 出 了 协议 11. 1 。 

协议 11.1 

OD 发 送 者 选择 Blum 整数 n= pq. p=q=3 (mod 4), 并 随机 选择 1€ Zr ,将 (n， 
(一 1)22) 发 送 给 接收 者 。 

(2) 接收 者 随机 选择 x CZ, ,计算 并 发 送 a 一 x? mod n 给 发 送 者 。 

(3) 发 送 者 随机 在 a 的 4 个 平方 根 ( 模 ) 中 选择 一 个 , 记 为 5, 然后 将 5 发 送 给 接收 者 。 

(4) 接收 者 收 到 5 后 ,验证 56 二 士 x 是 否 成 立 。 若 成 立 ,接收 者 得 不 到 任何 关于 s 的 信 
息 ; 若 不 成 立 ,接收 者 此 时 可 以 利用 gcd(z 十 b,n) 分 解 整数 n, 从 而 通过 检查 得 到 (一 1)%? 的 
二 次 剩余 性 。 
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因为 有 两 个 不 同 的 素 因子 ,所 以 方程 a 一 x* mod n 有 4 个 根 ,这 4 个 根 可 由 中 国 剩余 
定理 求 得 。 由 于 在 a 的 4 个 平方 根 ( 模 n) 中 , 恰 有 两 个 同 余 于 土 x, 于 是 若 发 送 者 均匀 选择 
0 接收 者 将 以 1/2 的 概率 恢复 出 秘密 s, 这 里 需要 假设 接收 方 不 具有 直接 计算 二 次 剩余 ( 模 
7n) 的 能 力 。 另 一 方面 ,由 于 发 送 者 不 知道 拥有 哪个 根 ,因此 就 不 知道 接收 者 是 否 收 到 了 秘 
密 s。 为 便于 区 分 ,以 下 记 Rabin 的 OT 协议 为 R-OT 协议 。 


11.1.2 二 择 一 OT 协议 


Even, Goldreich 和 Lempel 5| A fj —##— OT 协议 ,其 中 发 送 者 拥有 两 个 比特 消息 
m 与 m, ,接收 者 拥有 输入 eE {0,1}。 要 求 协议 运行 结束 后 ,接收 者 获得 了 消息 m, 而 不 能 
得 到 关于 m1-, 的 任何 信息 ,而 发 送 者 没有 获得 关于 e 的 任何 信息 。 现 在 所 说 的 OT 协议 若 
无 特别 声明 ,一 般 均 指 此 类 协议 。Even 等 人 最 初 给 出 的 OT 协议 需要 公 钥 加 密 系统 为 基 
础 , 即 假设 协议 双方 共享 一 个 公 钥 加 密 系统 ,因此 所 给 协议 比较 简单 ,具体 构造 参见 协议 
11.2, 

协议 11.2 

假定 发 送 者 的 输入 为 m m € Mi; 接收 者 的 输入 为 eE {0,1) 。 

(1) RH BÉ Le PESE HIM (Ke Kp) Al mo «mi € Ms FFE (Ke Kp) Al m mi € M 发 送 
给 接收 者 。 

(2) 接收 者 随机 选择 m € M, 并 将 z 一 Eks QD Om; 3E f REX o 

(3) 发 送 者 计算 zo 二 Dk, (Oms) «2 = Di, (1m) ,然后 发 送 mOr 5 m Ox, 给 
接收 者 。 

(4) 接收 者 计算 m, — zm. 

由 于 OT 协议 是 最 基本 的 安全 协议 之 一 ,因此 在 Even 等 人 最 初 工作 之 后 ,吸引 了 众多 
研究 者 对 此 进行 了 大 量 的 研究 ,提出 各 种 形式 的 OT 协议 和 许多 具体 的 构造 。 


11.1.3 两 种 OT 协议 的 等 价 性 


尽管 从 形式 上 看 ,R-OT 协议 与 OTi 有 很 大 的 不 同 ,但 它们 在 一 定 意义 下 的 确 是 等 价 
的 ,也 就 是 它们 之 间 可 以 相互 (以 黑箱 方式 ) 归 约 。 


1. R-OT SOT} 

假设 有 实现 R-OT 的 协议 x, 若 允许 双方 仅 以 黑箱 方式 运行 x, 则 可 实现 OTi。 具 体 参 
见 协议 11. 3。 

协议 11.3 

发 送 者 的 输入 为 m m; EM; 接收 者 的 输入 为 eE {0,1} ,接收 者 的 输出 为 m, o 

CD 发 送 者 随机 选择 B=b bsn € {0,1)”。 

(2) 发 送 者 与 接收 者 独立 运行 3n 次 ,其 中 在 第 j 次 中 发 送 者 输入 为 5; ,而 接收 者 获得 
vj—b; Rv; = | (表示 接收 者 未 获得 b). 

O) B Types (iv; —5;) C (1.32). SEC LIER ATF D, 55 DE III = 
| 五 | 一 2 而 且 工 CTe。 最 后 将 CT ,了 ) 发 送 给 发 送 者 。 

(4) 发 送 者 计算 并 发 送 1 =m Qb M zm OCOD B AUR, 


N 
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(5) 接收 者 计算 m =r. (vi. 

REEMA BDA PZ MOAT Iel =n. FE R-OT 中 ,接收 者 只 以 
50% 的 概率 获得 正确 的 比特 ,根据 Chernoff 不 等 式 可 得 Pr[ | Iye | -n]-—2e 7 (这 里 60 为 
常数 ) ,也 就 是 说 接收 者 得 不 到 任何 一 个 的 概率 是 可 忽略 的 。 另 一 方面 ,为 保证 接收 者 最 多 
只 能 得 到 其 中 之 一 , 则 必须 有 | I | 二 2n, 同 样 根据 Chernoff 不 等 式 ,Pr [| Iye | 22n]— 
2e", PIE. BR T m. 之 外 ,接收 者 获得 mm-. 的 概率 也 是 可 忽略 的 。 

由 于 发 送 者 不 能 确定 在 每 次 运行 R-OT 协议 后 ,接收 者 是 否 得 到 了 6; ,因此 在 收 到 (CT ， 
五) 后 ,发 送 者 无 法 判定 是 J,CT. 还 是 CT, 也 就 是 说 发 送 者 不 能 区 分 接收 者 的 选择 。 
因此 ,接收 者 的 安全 性 由 R-OT 协议 保证 。 

2. OT?=>R-OT 

假设 存在 实现 OTi 的 协议 ,由 此 可 实现 R-OT 协议 ,具体 参见 协议 11. 4。 

协议 11.4 

发 送 者 拥有 5E (01) KA 50% 的 概率 发 送 给 接收 者 。 

COD 发 送 者 随机 选择 c,rE (0,1) ,并 置 m, =b,m-, =r. 

(2) 接收 者 随机 选择 eE (0.1). 

(3) 发 送 者 与 接收 者 运行 OTi ,其 中 发 送 者 的 输入 为 (mo ,za ) ,接收 者 的 输入 为 e。 结 
果 接 收 者 获得 m, o 

OD 发 送 者 发 送 a 给 接收 者 。 若 o 二 e, 接 收 者 得 到 5; 若 oe, 接 收 者 仅 得 到 随机 比特 7。 


显然 ,只 要 发 送 者 诚实 地 执行 协议 , 则 必 有 Pio7e)- i. 另外 ,OTi 协 议 x 保证 接收 
者 没有 获得 m1-. 的 任何 信息 ,因此 接收 者 必 仅 以 50% 概 率 得 到 或 未 得 到 5。 


11.2 一 般 OT 协议 


Brassard、Crépeau 和 Robert! F 1986 年 提出 了 OT] 的 一 种 自然 的 推广 , 记 为 OT? ,此 
时 发 送 者 拥有 个 消息 mo，… mua ,接收 者 的 选择 为 eE {0,…,n 一 1)。 协 议 完成 后 ,接收 
者 也 仅仅 得 到 了 m, ,而 发 送 者 并 未 获悉 接收 者 所 做 的 选择 。OT? 的 实现 一 般 有 两 种 方法 ， 
一 种 是 利用 基本 的 OT; 进行 构造 , 另 一 种 是 直接 利用 密码 学 方法 来 实现 。 更 一 般 地 ,可 以 
考虑 OT ,此 时 接收 者 有 个 选择 ,0 三 eo，,… ,ei-1 三 n 一 1, 协 议 的 运行 结果 是 接收 者 从 发 送 
者 的 nn 个 消息 中 得 到 自己 选择 的 上 个 消息 。Bellare 5 Micali) 首先 研究 了 OTi 的 情形 ， 
其 后 Naor 与 Pinkas 等 人 对 一 般 OT; 的 实现 进行 了 研究 % 。 显 然 ,OT 可 以 由 大 次 独立 
运行 OT? 来 实现 ,但 这 样 做 效率 往往 不 高 。 因 此 ,如 何 实 现 高 效 的 OT: 协议 一 直 是 人 们 关 
注 的 研究 内 容 , 而 研究 如 何 由 基本 OTi 协 议 ( 或 小 规模 的 OT 协议 ) 构 造 一 般 的 OTL (k 宇 1) 
协议 更 是 一 个 有 意义 的 问题 。 

在 OT 协议 中 ,发 送 者 被 认为 愿意 与 接收 者 合作 (否则 ,发 送 者 可 以 发 送 虚假 的 信息 , 协 
议 无 法 排除 这 种 可 能 性 ) ,而 一 个 不 诚实 的 发 送 者 除 此 之 外 还 希望 能 了 解 接收 者 的 选择 。 
OT 协议 作为 一 个 两 方 协议 , 它 的 安全 性 可 以 采用 模拟 的 思想 进行 定义 ,也 即 要 求 对 真实 环 
境 中 的 任意 一 个 敌手 A, 存 在 理想 模型 中 (存在 可 信 第 三 方 ) 的 敌手 A'( 称 为 模拟 器 ) ,使 得 
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现实 环境 下 协议 的 运行 (存在 敌手 A) 与 理想 模型 下 协议 的 运行 (存在 敌手 A') 是 不 可 区 分 
的 。 满 足 此 定义 的 协议 称 为 完全 可 模拟 的 安全 OT 协议 。 其实, 在 Beaver 最 早 给 出 OT 
协议 安全 性 的 定义 时 , 正 是 采用 了 这 种 思想 。 但 为 简单 起 见 , Naor 对 OT 协议 的 安全 性 定 
义 采用 了 一 种 相对 简单 的 定义 ,即将 发 送 者 的 安全 性 与 接收 者 的 安全 性 分 割 考虑 ,因此 可 称 
为 半 可 模拟 (Half-simulatable) 的 安全 性 (大 多 数 OT 协议 的 安全 性 采用 此 定义 )。 具 体 来 
讲 ,OT? 协议 应 该 满足 以 下 3 个 条 件 。 

CD 正确 性 。 若 双方 都 正确 地 执行 协议 ,协议 运行 的 结果 是 接收 者 获得 了 mo 

(2) 发 送 者 的 安全 性 。 对 消息 (mo m ) 的 任意 分 布 (假设 (mo «mi ) 依 照 一 定 的 分 布 来 自 
于 消息 空间 M, XM, ) 以 及 任意 的 概率 多 项 式 时 间 (PPT) 敌 手 A( 接 收 者 ) ,存在 理想 模型 中 
的 PPT 敌手 (模拟 器 )A', 使 其 输出 与 敌手 A 的 输出 是 计算 不 可 区 分 的 。 

(3) 接收 者 的 安全 性 。 对 任意 可 能 的 发 送 者 A( 敌 手 ), 以 及 任意 的 co,rE (0.1) ,A 不 能 
区 分 接收 者 的 选择 是 c 还 是 +, 也 就 是 在 敌手 A 所 收 到 的 消息 在 接收 者 的 两 种 任意 的 选择 
下 是 不 可 区 分 的 。 

对 于 更 一 般 的 OT ,其 安全 性 也 可 类 似 地 定义 。 与 安全 性 定义 有 关 的 另外 一 个 问题 是 
敌手 的 模型 ,一 种 称 为 半 诚 实 模型 (Semi-honest Model); 另 一 种 称 为 恶意 模型 (Maci 
Model) 。 在 半 诚 实 模型 中 ,所 有 的 参与 者 (包括 敌手 ) 都 正确 地 执行 协议 ,敌手 所 能 做 的 就 
是 记录 从 交互 过 程 以 期 获得 更 多 的 信息 。 在 恶意 模型 中 ,敌手 可 以 采取 一 切 可 能 的 行为 。 
根据 文献 [9] 或 本 书 第 6 章 可 知 ,在 半 诚 实 模型 下 安全 的 协议 ,经 过 编译 变换 可 以 得 到 在 恶 
意 模型 下 安全 的 协议 。 因 此 ,为 简化 问题 ,人 们 常常 关注 半 诚 实 模型 下 的 安全 性 。 在 以 下 的 
叙述 中 , 若 无 特 别 声明 ,其 安全 性 一 般 是 指 在 半 诚 实 模型 下 的 安全 性 。 

在 一 般 的 OT; 中 ,接收 者 对 大 个 消息 的 选择 是 一 次 完成 的 ,而 Naor 与 Pinkas"" 最 早 
考虑 Adaptive-OTY (为 便于 区 分 , 简 记 为 OTix) ,在 这 样 的 协议 中 ,接收 者 可 以 动态 地 依次 
选择 希望 得 到 的 消息 , 亦 即 接收 者 在 获得 m, 后 才 决 定 第 ;十 1 次 的 选择 eii EOT ha P, 
若 仅 要 求 满足 半 可 模拟 的 安全 性 , 则 发 送 者 可 以 实施 称 为 Selective-failure 的 攻击 。 因 此 ， 
在 一 些 较 复杂 的 环境 下 , 半 可 模拟 的 安全 性 定义 并 不 能 满足 人 们 对 安全 性 的 要 求 , 由 此 引发 
人 们 对 OT%x1 的 完全 可 模拟 的 安全 性 的 关注 。Camenisch FA" BLA (LE Oracle 模型 下 
利用 讶 签名 构造 了 一 个 有 效 完全 可 模拟 的 安全 OTixi ,而 且 在 标准 模型 中 利用 一 个 较 强 的 
复杂 性 假设 同样 也 构造 了 安全 可 模拟 意义 下 安全 的 OT%x1 协 议 ( 他 们 的 结果 需要 较 强 的 非 
标准 的 q-power DDH 和 q-strong Diffie-Hellman 假设 ) Green 与 Hohenberger''? 在 相对 
较 弱 的 复杂 性 假设 下 ( 称 之 为 DBDH 假设 ) 实 现 了 完全 可 模拟 的 一 般 的 OT MOTI. M 
Lindell ”进一步 在 标准 假设 下 CDDH BEDRA T OTI ,其 结果 也 可 推广 至 OT'。 

由 于 协议 运行 环境 的 复杂 性 ,而 且 OT 协议 作为 最 基本 的 安全 协议 之 一 ,常常 用 于 构造 
其 他 安全 协议 或 安全 多 方 计算 协议 ,因此 仅仅 考虑 协议 独立 运行 时 的 安全 性 是 不 够 的 ,需要 
研究 OT 协议 在 并 发 环境 下 的 安全 性 和 UC BREE, Garay 最早 研究 了 OT 协议 在 并 发 
环境 下 的 安全 性 ,给 出 并 发 环境 下 的 安全 性 定义 以 及 具体 的 实现 方案 。 由 于 并 发 只 考虑 了 
OT 协议 自身 的 复合 , 它 仍 不 能 保证 其 在 与 其 他 协议 进行 任意 复合 时 的 安全 性 ,因此 仅 有 并 
发 安全 性 有 时 也 是 不 够 的 。 最近,Peikert 4$ AU? fg CRS 模型 中 给 出 了 一 个 实用 的 UC 安 
全 的 OT 协议 的 构造 ,并 分 析 了 在 几 个 不 同 的 密码 学 假设 下 的 具体 实现 。 此 前 ,Canetti 等 
人 55 也 对 UC 安全 的 OT 协议 进行 了 研究 。 文 献 L[18] 在 CRS 模型 中 利用 标准 的 复杂 性 
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假设 给 出 了 具有 UC 安全 性 的 ECOT 协议 。 由 于 在 一 般 模 型 (Plain Model) 中 不 可 能 实现 
UC 安全 的 (双方 )OT 协议 ,Fischlin" 在 有 多 个 参与 方 的 环境 下 研究 了 在 一 般 模式 中 如 何 
构造 UC 安全 的 OT 协议 。 

有 关 OT 协议 的 另 一 个 基本 问题 是 OT 协议 存在 所 需 假设 问题 。 由 于 OT 协议 的 完备 
TE. Bl di OT 协议 可 以 实现 对 任何 函数 的 安全 多 方 计算 ,因此 人 们 一 直 试 图 在 更 弱 的 假设 下 
来 构造 OT 协议。 不幸 的 是 ,到 目前 为 止 人 们 并 不 知道 其 存在 所 需 的 最 低 假设 。 由 文献 [9] 
或 本 书 第 6 章 可 知 , 利 用 零 知识 证 明 等 工具 ,可 以 将 半 诚 实 模型 中 的 安全 协议 转化 为 恶意 模 
型 中 的 安全 协议 ,因此 ,一 般 来 说 人 们 只 需 关心 在 半 诚 实 模型 中 OT 协议 存在 的 条 件 。 在 加 
强 陷 门 置换 存在 的 假设 下 OT 协议 存在 ,而 且 一 般 认为 一 般 陷 门 函数 不 能 保证 OT 协议 的 
存在 ,但 陷 门 置换 也 许可 以 满足 OT 协议 的 需要 。 最 近 , Haitner "利用 稠密 陷 门 置换 构造 
T OT 协议 ,Peikert 与 Waters" 使 用 一 种 新 的 陷 门 函数 (Lossy trapdoor functions) 给 出 了 
相应 的 构造 。Impageliazzo 与 Rudich” 证 明了 密 钥 协商 KA(Key Agreement) 协 议 不 能 以 
黑箱 方式 归 约 到 OWF(One-Way Functions) ,而 OT 协议 隐 含 KA 协议 (黑箱 归 约 意义 
TOUS ,于 是 可 知 ,OT 协议 也 不 可 能 以 黑箱 方式 归 约 到 OWF。Harnik 与 Naor^" fcrt f jt 
究 表明 ,在 一 定 的 假设 下 (假设 有 SAT 问题 实例 存在 证 据 可 恢复 的 压缩 算法 ) , 单 向 函数 隐 
含 着 OT 协议 的 存在 。 


11.2.1 String-OT? 


Brassard “ A") -F 1986 年 提出 了 String-OTi 协 议 的 概念 , 它 与 OTi 唯 一 的 不 同 是 发 送 
者 的 消息 m 与 m HÈ k Kep, Bm Smam, si 二 0,1。 实现 String-OTi 的 一 个 
简单 办 法 是 运行 次 安全 的 OT? ,其 中 在 第 j 次 的 OTi 中 ,发 送 者 输入 (ww.; miu) «Wii 
者 的 输入 是 e。 此 方法 虽然 简单 ,但 有 缺陷 : 不 诚实 的 接收 者 可 以 分 别 得 到 mo 与 m 的 部 
分 比特 。Brassard 等 人 利用 了 一 个 很 简单 的 方法 , 便 克服 了 上 述 的 缺陷 ,从 而 通过 多 次 运行 
安全 的 OTi 构 造 了 安全 的 String-OTi 。 具 体 协 议 参见 协议 11. 5。 

协议 11.5 

发 送 者 的 输入 为 m m € M; 接 收 者 的 输入 为 eE {0,1} ,接收 者 的 输出 为 meo 

(1) 发 送 者 随机 选择 so = sh es E (0,1}" ss =si si E {0,1}"。 

(2) 对 任意 的 1<j<n, 发 送 者 与 接收 者 运行 OTi ,这 里 发 送 者 的 输入 为 (si ,si) ,接收 者 
的 输入 为 e。 接 收 者 最 终 得 到 一 个 长 的 串 z。 

(3) 发 送 者 随机 选择 两 个 kXn 的 比特 矩阵 Mo 与 M, ,计算 zo 一 mo 名 Mo， s 与 zi 一 
m M, * s ,最 后 将 (Mo ,zo) 与 (Ml ,zi) 发 送 给 接收 者 。 

(4) 接收 者 计算 m — 2x M, +z. 

显然 ,车 接收 者 诚实 , 则 在 运行 n 次 OTf 后 , 它 必得 到 s., 从 而 可 计算 m.。 同 时 ,由 于 接 
收 者 不 可 能 同时 得 到 so AI s ,因此 也 就 不 可 能 同时 获得 mo 和 mi 。 若 一 个 不 诚实 的 接收 者 
试图 通过 在 OTi 协 议 中 分 别 选择 so 与 5 的 部 分 比特 以 获取 更 多 的 信息 , 它 将 得 不 到 m RI 
m 中 的 任何 一 个 。 接 收 者 的 安全 性 由 OTi 的 安全 性 得 到 保证 。 


11.2.2 OTN 
Brassard F 1986 年 首先 开始 研究 一 般 的 OT? 协议 (n 宇 2) ,此 时 ,发 送 者 拥有 个 输 
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Am vm, € 0,1)! JEn m; a; je BEE AAA eo DMR ,接收 者 获 
得 m. TEXE —fRR 8S OT 协议 中 ,接收 者 拥有 k 个 选择 ei,… ,ei ,协议 结束 后 ,接收 者 获得 
m, onm, ， 其 安全 性 要 求 与 OT? 类 似 。0OTi 协 议 有 两 种 模式 ,一 种 称 为 静态 模式 : 接收 者 
一 次 决定 它 的 个 选择 ; 另 一 种 称 为 动态 模式 (为 区 别 , 一 般 记 为 OT%x1): 接收 者 一 次 选择 
一 个 , 亦 即 接收 者 对 e; 的 选择 依赖 于 m。,… ,m。,。Naor 与 Pinkas 首先 在 1999 年 给 出 了 
一 个 静态 的 OT 协议 ,随后 人 们 给 出 了 许多 OT 协议。 下 面 首先 介绍 Brassard 给 出 的 
OT? 协议 ,他 给 出 的 协议 基于 二 次 剩余 ,具体 协议 参见 协议 11. 6。 

协议 11.6 

发 送 者 拥有 输入 m om, € (0,1) Eri mS aa ，…,Zzju，1 和 jn; 接收 者 的 输入 为 
e, 接 收 者 的 输出 为 m.。 

(1) 发 送 者 随机 选择 两 个 不 同 的 大 素数 p 5 q, URE N= pa 的 非 二 次 剩余 y。 对 任 
意 的 1<i<n,1<j<t, 随 机 选择 n; € Zi ,计算 muros. Bon RACE N、y 及 zi 
Ain, 1C juo) RE A HOC . 

(2) 接收 者 随机 选择 {1,…,z} 上 的 置换 x, 随 机 选择 rrj € Zh 0, € (0,1) P,— 
(rey SRP éy o Sri rey hes i= CK) sss. HEH RK P, 和 e 一 x(e) 给 发 送 者 。 

(3) 发 送 者 公开 c; AKIKO WIKRE» 

(4) 接收 者 计算 m, maa tu: E cou die — e CRI W zx。,j 二 b,j; 否则 ,zx 二 1@b.,; 
OxjseoD. 

注意 到 zy € QR, 当 且 仅 当 zi 一 0, 依 据 二 次 剩余 假设 ,接收 者 最 多 获得 mn ，… om, 中 
的 一 个 。 因 此 ,在 半 诚 实 模型 中 ,发送 者 的 安全 性 依赖 于 二 次 剩余 假设 ,而 接收 者 的 安全 性 
是 无 条 件 的 。 在 一 般 的 模型 (恶意 模型 ) 中 ,情况 要 复杂 一 些 。 例 如 ,恶意 的 接收 者 可 以 通过 
选择 特殊 的 P, 以 获得 m; 四 mj ,而 恶意 的 发 送 者 可 以 用 一 个 二 次 剩余 ”代替 y 发 送 给 接收 
者 ,这 样 rj 与 zi,; 有 相同 的 二 次 剩余 特性 ,发 送 者 据 此 可 以 获取 接收 者 的 选择 e。。 要 使 协议 
在 恶意 模型 中 安全 ,一 个 自然 方法 就 是 在 协议 中 增加 零 知识 证 明 , 发 送 者 证 明 N、y 按 协议 
的 要 求生 成 ;接收 者 证 明 P. 由 随机 选择 的 rtjE ZK «b; € {0,1} 而 得 到 ,车 如 此 将 使 协议 变 
得 很 复杂 。 

下 面 介绍 Naor 与 Pinkas'" 45 th AY RAS OT, EX» ,他们 的 实现 方法 是 首先 构造 一 个 一 
般 的 OTY ,然后 通过 多 次 调用 OT 外 协议 实现 OT;。 于 是 ,协议 的 安全 性 归 约 到 一 般 的 OT 六 
协议 的 安全 性 ,而 后 者 又 可 归 约 到 基本 OTi 协 议 的 安全 性 。 

在 构造 一 般 的 OT? 时 ,除了 假设 存在 一 个 消息 空间 为 {0,1)' 的 OTi 协 议 之 外 ,还 需 假 
设 协 议 双方 共享 一 个 伪 随 机 函数 簇 : {F,:{0,1)" 一 {0,1)"})。el0wy+。 男 外 ,为 方便 起 见 , 不 
妨 假设 n 二 2', 且 对 任意 的 1<i<n, 其 对 应 的 7 位 的 二 进 制 表示 为 [让 ,二 [说 …ii]。 具 体 协 议 
参见 协议 11.7。 

协议 11.7 

发 送 者 拥有 输入 my m, € (0,1) ;接收 者 的 输入 为 e, 接 收 者 的 输出 为 m, 

COD 发 送 者 随机 选择 (a? aD son Ca? sai) HEP at E {0,1} bE {0,1),jE€{l,… D 
接收 者 计算 ro mi (DI FS GO. 

(2) 发 送 者 与 接收 者 独立 运行 次 0 至 协议 ,其 中 在 第 7 次 中 ,发 送 者 的 输入 为 (ec?， 
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aD ,接收 者 的 输入 为 6。 

(3) 发 送 者 发 送 z sen, 给 接收 者 。 

(4) 接收 者 计算 m, (@f-1F,; C). 

利用 常用 的 复合 模式 (也 称 合成 模式 ) ,容易 将 接收 者 的 安全 性 归 约 到 OT 协 议 中 接收 
者 的 安全 性 。 对 于 发 送 者 的 安全 性 ,利用 {F.:{0,1)"->{0,1)” heo. 的 伪 随 机 性 , 便 容易 
地 将 其 归 约 于 OTi 中 的 发 送 者 的 安全 性 。 

有 了 以 上 的 OT ,可 以 由 此 构造 一 般 的 OT; 协 议 。 具体 构造 过 程 参见 协议 11. 8。 

协议 11.8 

发 送 者 拥有 输入 m ，,… ,msE {0,1} ;接收 者 的 输入 为 o，… ,ei ,接收 者 的 输出 为 m > 


Ut meo 


COD 对 j 王 1,…,w, 发 送 者 与 接收 者 完成 以 下 操作 : 
O 发 送 者 随机 选择 密 钥 对 (Ri Ch) oe Rie Cir) ,以 及 {1,…,n} 上 的 置换 x; 。 发 送 者 


将 输入 表示 为 ms some V CP DRR n CO BTE bee CD BAR n CD B 
b. 发 送 者 发 送 n 给 接收 者 。 

@ 发 送 者 与 接收 者 分 别 对 (Ri oo RÍO CC Che 3B FF k 次 OTY 协 议 。 

(2) 发 送 者 计算 r. =m, Ok (Fe Ce) 中 Fe m (e)),e 二 1,…,n, 并 将 enm 发 
送 给 接收 者 。 


(3) Ee nre 接收 者 计算 mo 一 zeGF (Pe ap COF 2). 


e 


协议 中 参数 名 的 选择 应 满足 ( tE) 一 8, 此 时 协议 将 以 1 一 6 的 概率 保证 发 送 者 的 安全 
性 。 接 收 者 的 安全 性 可 直接 由 OTi 的 性 质 得 到 。 
构造 OT 协议 的 另 一 个 方法 是 直接 从 某 个 密码 学 假设 出 发 进行 构造 ,目前 已 给 出 许多 
种 构造 方法 ,但 在 此 无 法 详尽 所 有 的 构造 方案 ,只 能 选择 介绍 其 中 较为 典型 的 构造 方法 。 协 
议 11.9 是 Chu 等 人 呈 给 出 的 协议 ,该 协议 需要 DDH 假设 。 
假设 素数 pa i IE ARTE p—29--1.G,C Z; 为 阶 为 q 的 循环 子 群 ,g\ 为 其 生成 元 。 协 
议 双 方 的 公用 参数 为 (g,h,G,), 这 里 要 求 双方 都 不 知道 logsh 。 协 议 共 有 两 轮 ,接收 者 首先 
利用 一 个 承诺 方案 发 送 对 选择 的 承诺 ,发 送 者 收 到 此 承诺 后 ,以 加 密 的 方式 发 送 所 有 的 消息 
m «um, ,确保 接收 者 只 能 解密 与 自己 所 承诺 的 选择 对 应 的 消息 。 具 体 协议 参见 协议 
11.9. 
协议 11.9 
发 送 者 拥有 输入 mi eom, € 0.1) HEIC AD FA emen ,接收 者 的 输出 为 ms ， 
Hs 
(1) 接收 者 随机 选择 a: € Z,G—0. 1, k— D , 记 
f@) = ao tarz 4d 7 Harir" 4 x* 
f'G) = Gc — e) (£ — e) = b tort 二 br + 2 
接收 者 发 送 A= gh" (i 一 0,1,… ,上 一 1) 给 发 送 者 。 
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D 发 送 者 随机 选择 7 € Z, HIE o= Gri m B] Gm 1o 0 EP By = Ay Ai AL 
Gh — gl? h ,并 发 送 c sense, 给 接收 者 。 
(3) 接收 者 在 收 到 c; =U; V) G1 JB ERE m, =V, /Uf (i 一 1,… ,kk)。 
协议 11.9 的 正确 性 是 显然 的 。 事实 上 ,车 双方 均 正确 执行 了 协议 ,利用 f (e 一 0, 显然 
就 有 
VUE? = m, + (g^? hf YG /gr, I =m, i=1,",k 
由 于 接收 者 所 用 的 承诺 方案 具有 完美 的 隐蔽 性 质 ,发 送 者 从 A;(Gi 一 1,…,z) 不 能 获得 关于 
eise 的 任何 信息 ,因此 接收 者 的 安全 性 是 无 条 件 的 。 同 时 ,在 DDH 假设 下 ,该 协议 对 
半 诚 实 的 接收 者 是 安全 的 。 
协议 11. 9 是 否 可 以 抵御 恶意 的 接收 者 尚 不 能 确定 ,尽管 目前 还 不 知道 接收 者 如 何 可 以 
进行 欺骗 ,但 也 不 能 排除 恶意 的 接收 者 可 以 通过 选择 一 些 特殊 的 A; 而 获得 额外 的 信息 。 通 
过 对 上 述 协 议 进行 适当 修改 ,得 到 了 一 个 发 送 者 无 条 件 安全 的 协议 。 具 体 参见 协议 11. 10 。 
协议 11.10 
发 送 者 拥有 输入 mi e m, € (0,1) ;接收 者 的 输入 为 eie ,ex ,接收 者 的 输出 为 ms ， 
COD 接收 者 随机 选择 G, 的 生成 元 h 及 yE€2,, 计 算 Bg*。 同 时 随机 选择 a, € Z, Gi — 
0,1,…, 大 一 1) id 
f(z) =a, raiz +e Ray art! + ar" 
f'(G) = (x—e)(z—e)- b Hbr + toyz! + ar" 
4 A, — g*ih'i C, g*?h* G=0,1, =, k— D. RJA. EMH RIE B, (A,,…,A4_1) 和 
(C, sU CL BREF. 
(2) REF MIE Cr, s € Z, XZ, G —1. on) ,计算 
c; = QOGg* WEB" Om) j 91. 
th X; - AL AL Ala g^ W;— GC Cia GIO. BIKE BGK o onsec, 给 接收 者 。 
(3) 接收 者 在 收 到 c; — QU; VGS, n) Ji ERE m, =U? OV, G— 1. E). 
协议 11. 10 的 正确 性 容易 验证 。 若 协议 正常 运行 至 结束 ,有 
Uz QV, = (g D'y g'i POMP? Y'o Gg Ys Om, 
= gh, ta Qe»). Cg» Cnm, 
HP, gi Pry ty Om, =m, 
5j Chu 等 人 给 出 的 协议 类 似 ,接收 者 首先 对 自己 的 选择 进行 承诺 ,所 不 同 的 是 这 里 相 
当 于 进行 了 两 次 承诺 ,因此 承诺 方案 的 隐蔽 性 只 能 是 计算 意义 下 的 (在 DDH 假设 下 )。 不 
难 将 接收 者 的 安全 性 归 约 至 DDH 假设 。 
设 I={i:1<i<n, fG)40), BRI Sk. HERH i€ I4 a= fG)r t s0;— 
log,h ^? , 则 有 


WEBS = (gh P Jigar = gsontor(Af® yi = gritos 
由 于 0:40 BRE AY DEM 7;, 则 WB he. P UC RT RIE AE A 
全 性 是 无 条 件 的 。 
协议 的 交互 次 数 是 度量 协议 复杂 性 的 指标 之 一 。 最 近 ,Mnu 等 人 [9 给 出 了 一 个 新 的 非 
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交互 的 0 人 协议 。 
11.2.3 OTi Bx 


OT 协议 最 早 是 由 Naor 与 Pinkas"" 提 出 的 ,与 一 般 OT; 的 安全 性 定义 类 似 ,对 其 安 
全 性 要 求 也 是 在 半 可 模拟 意义 下 。 文 献 [10] 在 DDH 假设 下 给 出 了 OT 的 实现 协议 ,所 
给 协议 分 为 两 个 阶段 : 初始 化 阶段 和 传输 阶段 。 在 初始 化 阶段 ,发 送 者 首先 对 拥有 的 个 
消息 进行 承诺 ;在 传输 阶段 ,接收 者 按照 自己 的 选择 。; 获得 相应 的 密 钥 , 它 使 得 接收 者 可 以 
对 应 承诺 值 。 随 后 ,Ogata 和 Kurosawa” Chu 等 人 5 分别 给 出 了 RO MF OTE Bh 
议 。 最 近 ,Camenisch 9 A” 进一步 分 析 了 半 可 模拟 OT 协议 的 固有 缺陷 ,在 完全 可 模拟 
的 安全 性 定义 下 ,分 别 在 RO 模型 和 标准 模型 下 给 出 了 OT 协议 ,Laur 与 Lipmaa^* JE 
陷 门 承诺 方案 与 完全 可 模拟 的 OTY 构 造 具有 固定 的 OT 协议 。 


11.3 一 般 复杂 性 假设 下 的 OT 协议 的 构造 


为 了 方便 起 见 , 可 以 将 OT 协议 定义 为 一 个 两 方 安全 计算 问题 : 发 送 者 与 接收 者 的 初 

始 输 入 分 别 为 (mu ，…,zz) 与 e, 发 送 者 没有 获得 输出 ,接收 者 获得 m, ,可 形式 地 定义 如 下 : 
OT? (Cm +++ m,),e) = Qm.) 

其 中 4 表示 空 输出 。 由 于 OT 协议 的 完备 性 , 即 基于 OT 协议 可 以 实现 安全 多 方 计 算 , 因 此 
OT 协议 的 存在 性 自然 而 然 就 成 为 人 们 关注 的 基本 问题 之 一 。 既 然 OTI 协 议 是 一 个 特殊 的 
两 方 安全 计算 问题 ,其 安全 性 自然 可 以 沿用 更 强 的 安全 性 定义 , 即 通过 定义 现实 模型 与 理想 
模型 的 模拟 范式 定义 其 安全 性 ,可 称 为 完全 可 模拟 (Fully-simulatable) 的 OT 协议 。 本 小 节 
OT 协议 的 安全 性 就 是 在 这 样 的 安全 性 意义 下 定义 的 。 

Goldreich 利用 加 强 陷 门 置换 簇 (Enhanced Trapdoor Permutations) 构 造 了 一 类 OT th 
议 , 人 们 希望 在 陷 门 置换 簇 存 在 或 更 弱 的 条 件 下 实现 OT 协议 ,虽然 随后 不 多 的 研究 取得 了 
一 些 结果 ,但 仍 未 获得 基于 陷 门 置换 入 的 OT 协议。 事实 上 ,已 有 结果 表明 由 陷 门 置换 簇 构 
造 OT 协议 在 黑箱 方式 下 是 不 可 能 的 。 

Goldreich 基于 加 强 陷 门 置 换 簇 构造 的 OT 协议 在 半 诚 实 模型 中 是 安全 的 ,有 关 的 协议 
及 其 证 明 已 在 6. 2. 2 小 节 介绍 过 。 但 在 恶意 模型 中 ,Goldreich 基于 加 强 陷 门 置换 簇 构造 的 
OT 协议 是 不 安全 的 ,因为 此 时 接收 者 可 以 对 所 有 的 j 都 取 yj; 二 f(z;), 从 而 可 获得 全 部 的 
mj;。 为 了 获得 一 般 模型 (恶意 模型 ) 中 安全 的 OT 协议 ,可 采用 文献 [9] 中 的 一 般 方法 ,通过 
使 用 零 知 识 证 明 等 工具 将 半 诚 实 模型 中 的 OT 协议 变换 为 恶意 模型 中 的 OT 协议 ,可 以 预 
见 的 是 这 样 得 到 的 OT 协议 就 会 很 复杂 。 

最 近 ,Ishai 等 人 [中 给 出 了 相对 简单 的 恶意 模型 中 的 安全 OT 协议, 它们 所 需 的 假设 依然 
是 加 强 陷 门 置 换 簇 的 存在 ,同时 还 需要 非 交互 的 承诺 方案 Commit(。;“。)。 文 献 [29] 中 的 
基本 思想 是 先 构造 允许 单方 恶意 模型 下 的 OTi 协 议 ,然后 由 此 得 到 恶意 模型 中 安全 的 OT? 
协议 。 文 献 [29] 中 的 构造 利用 了 Wolf 与 Wullschleger?" 最 近 证 明 的 OT 协议 的 对 称 性 , 即 
从 A 到 B 的 OTi(A 为 发 送 者 ,B 为 接收 者 ) 可 以 由 从 B 到 A 的 OTi(B 为 发 送 者 ,A 为 接收 
者 ) 得 到 。 

假设 存在 协议 十 实现 从 B 到 A 的 OTi ,下 面 介 绍 一 个 利用 协议 匡 实 现 的 从 A 到 B 的 
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OTIP. 

协议 11.11 

和 A 拥有 输入 mo,m € (0,1); B 的 输入 为 eE{0,1},B 的 输出 为 mo。 

(D B 随机 选择 rE (0,1) ,并 令 s =r, s —rGe. 

(2) A 计算 e m, Om. 

(3) A 5 B 运行 协议 了 ,其 中 B 的 输入 为 (so,s1),A 的 输入 为 e 。 工 结束 后 ,A 得 到 输 
Hc. 

(4) A Ro=mOr HB. 

(5) Bit m. =r. 

该 协议 将 从 A 到 B 的 OTi 协 议 的 实现 ,安全 地 归 约 到 实现 从 B 到 A 的 OT?。 

Ishai 等 人 的 构造 从 基本 OTi 协 议 11. 12( 为 方便 起 见 ,将 此 基本 协议 记 为 IDA ES 
6.2. 2 小 节 介 绍 的 基于 加 强 陷 门 置 换 簇 构造 的 OT 协议 ( 即 协议 6.7) 的 区 别 仅 在 于 对 y; 
(j 关 e) 的 选择 不 同 。 在 基于 加 强 陷 门 置 换 簇 构造 的 OT 协议 中 ,y-. 由 接收 者 自己 独立 随机 
选择 ,而 在 协议 11. 12 中 y%-. 由 双方 共同 决定 (双方 共同 决定 获取 y1-, 的 抽样 算法 中 的 随机 
数 )。 这 就 为 限制 接收 者 的 不 诚实 行为 提供 了 可 能 。 

协议 11.12 

发 送 者 拥有 输入 mm E10,1) ;接收 者 的 输入 为 eE {0,1} ,接收 者 的 输出 为 m o 

OD 接收 者 随机 选择 s, € (0,1)" ,pE (0,1)? ,并 将 c 二 Commit(so ;p) 发 送 给 发 送 者 ， 
这 里 的 多 项 式 poly() 由 承诺 方案 所 决定 。 

(2) 发 送 者 随机 选择 陷 门 置换 , 即 (a,t)<-1(1") ,随机 选择 s, € (00,1) ,发送 5 s: 给 接 
收 者 。 

(3) 接收 者 随机 选择 s€ (0,1)" IFS r, =Slass) ,计算 yii Ges Qs y, f Gr. 
EO ,yi) 发 送 给 发 送 者 。 

(4) 发 送 者 发 送 to m) OCfz! (yo) 5j n m ObCfz! GO HAM. 

(5) 收 到 (ro ,ri) 后 ,接收 者 计算 m= n Ob Gn o 

在 该 协议 中 ,发送 者 从 (yo,y ) 中 不 可 能 获取 e 的 任何 信息 (因为 当 f 确 是 一 个 置换 
时 ,yo 与 yy 有 着 同样 的 分 布 ) ,因此 发 送 者 唯一 可 以 获取 e 的 渠道 就 是 通过 c 二 Commit(so; 
o)。 这 样 自然 将 接收 者 的 安全 性 归 约 到 承诺 方案 的 隐 项 性 。 对 诚实 的 接收 者 来 说 ,由 于 
Vi- = Slas so Ds, ) 由 双方 共同 决定 ,因此 它 只 能 获得 唯一 的 m,。 但 是 ,由 于 协议 并 不 要 求 
公开 s ( 若 在 (4) 之 前 对 发 送 者 公开 ss , 则 发 送 者 由 此 便 可 以 获得 e) ,所 以 欺骗 的 接收 者 可 
以 通过 选择 zi-. 而 计算 yie = f. Gn 0 ,从 而 便 可 保证 自己 同时 也 获得 mx-。。 因 此 ,该 协议 
也 只 是 半 诚 实 模型 中 安全 的 OT 协议。 下 面 利用 该 协议 构造 一 个 可 以 抵御 恶意 接收 者 的 
OTi 协 议 。 

协议 11.13 

发 送 者 拥有 输入 mo om, € {0,1) ;接收 者 的 输入 为 eE {0,1} ,接收 者 的 输出 为 me 。 

CD 接收 者 随机 选择 7，… ,rz € {0,1})。 

(2) 发 送 者 随机 选择 2n 个 比特 对 : mimi € (0.1) (i 二 1,…,n)。 

(3) 发 送 者 与 接收 者 并 行 地 运行 2n 个 荆 , 其 中 在 第 i 个 协议 中 发 送 者 的 输入 为 (1m?， 
mi) ;接收 者 的 输入 为 r;。 设 运行 记录 分 别 为 4 ，… stono 
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(4) 发 送 者 与 接收 者 运行 安全 的 联合 投 币 协议 ,双方 获得 输出 5a E 0,1)" > 
Q— (2i—gq), W [QI =n. 

(5) 接收 者 发 送 { (x; ,5))iea 给 发 送 者 ,其 中 55 是 接收 者 在 第 i 个 基本 协议 的 (1) 中 随 
机 选择 的 %E {0,1)", 即 当 2€ Q, 接 收 者 公开 第 i TERM PH RE. 

(6) 对 所 有 的 i€ Q, 发 送 者 验证 公开 的 承诺 。 若 验证 通过 ,执行 下 一 步 ;否则 ,终止 
协议 。 

(7) 对 iEQ=={1,…,2n) 一 Q, 接 收 者 计算 e; eOr; 随机 ,并 发 送 {ei)iea 给 发 送 者 。 

(D 发 送 者 计算 并 发 送 c =O (Oam ) 5 r —m Q (Ojean} 5 ) 给 接收 者 。 

(9) 收 到 (zo «n ) 后 ,接收 者 计算 mm 一 rm 四 (人 icaxzz ) 。 

显然 ,该 协议 与 基本 协议 也 有 相同 的 接收 者 的 安全 性 ,因此 若 协议 五 对 半 诚 实 的 发 送 
者 是 安全 的 , 则 该 协议 对 半 诚 实 的 发 送 者 也 是 安全 的 。 关 于 发 送 者 的 安全 性 ,文献 [29] 证 明 
了 该 协议 对 恶意 的 接收 者 也 是 安全 的 。 直 观 上 ,双方 运行 的 2n 个 基本 协议 荆 中 ,其 中 及 n 
个 用 于 检测 接收 者 的 行为 ,剩余 的 个 用 于 实现 不 经 意 传输 。 若 在 基本 协议 荆 中 ,y-. 确 是 
按 协 议 的 规定 通过 抽样 算法 S Ca s, Ds, ) 得 到 , 则 接收 者 一 定 不 能 获得 mm-.。 因 此 , 若 接收 
者 成 功 地 同时 获得 了 m, 与 m1-,, 则 该 接收 者 一 定 在 与 Q 对 应 的 基本 协议 中 诚实 地 执行 了 
协议 (否则 发 送 者 将 终止 协议 ) ,而 在 剩余 的 基本 协议 ( 即 与 Q 所 对 应 的 协议 ) 中 都 采取 了 其 
骗 行为 。 进 一 步 ,Q 由 一 个 安全 的 联合 投 币 协议 产生 ,接收 者 完全 无 法 事先 猜测 和 控制 Q。 
因此 ,接收 者 在 生成 Q 之 前 执行 的 2n 个 协议 荆 中 ,其 中 仅 有 个 诚实 地 执行 了 协议 ,而 且 


恰好 与 Q 一 致 的 概率 为 去 。 由 此 说 明 接收 者 欺骗 成 功 的 概率 是 可 忽略 的 , 即 协 议 对 恶意 的 


接收 者 也 是 安全 的 。 

为 了 得 到 在 一 般 的 恶意 模型 中 安全 的 OT? ,还 需要 有 可 以 抵御 恶意 发 送 者 的 OTi。 具 
体 协议 参见 协议 11. 14。 

协议 11.14 

发 送 者 拥有 输入 mo m, € (00,1) ;接收 者 的 输入 为 eE {0,1} ,接收 者 的 输出 为 m, o 

CL) 发 送 者 计算 e =m Om. 

(2) 接收 者 随机 选择 vcE (0,1) , 令 m =0,m 二 oe。 

(3) 双方 运行 协议 11. 13 ,其 中 发 送 者 充当 接收 者 ,输入 为 e ;接收 者 为 发 送 者 ,输入 为 
mo ,mf 。 设 发 送 者 得 到 的 输出 为 r。 

(4) 发 送 者 将 mOr 发 给 接收 者 。 

(5) 接收 者 计算 m, =r., 

依据 OTi 的 对 称 性 ,该 协议 对 恶意 的 发 送 者 可 以 保证 接收 者 的 安全 性 , 即 协议 可 以 抵御 
恶意 的 发 送 者 。 

协议 11. 13 实际 上 将 对 半 诚 实 的 接收 者 安全 的 协议 11. 12 转化 为 一 个 即使 对 恶意 接收 
者 也 安全 的 协议 ,因此 ,车 用 协议 11. 14 替换 协议 11. 13 中 的 协议 区 ,将 会 得 到 一 个 可 以 抵 
御 恶 意 接收 者 的 OT 协议 。 又 由 于 协议 11. 14 本 身 就 可 以 抵御 恶意 的 发 送 者 ,因此 如 此 得 
到 的 协议 就 是 一 个 在 恶意 模型 中 安全 的 OTi 协 议 。 

协议 11.12 以 及 由 此 得 到 的 协议 都 需要 加 强 陷 门 置换 簇 存 在 的 假设 ,已 有 很 多 文献 试 
图 在 更 弱 的 假设 下 实现 OT 协议 ,有 兴趣 的 读者 可 参阅 文献 [15]、[20]、L31] 和 [32]。 
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11.4. 分 布 式 OT 协议 


分 布 式 健忘 传输 (Distributed Oblivious Transfer, DOT) 是 OT 协议 的 一 种 变形 ， 
Gertner" E fe 1997 年 提出 此 概念 , 它 与 PIR 和 SPIR 有 着 密切 的 关系 。Naor 等 人 于 
2000 年 又 重新 提出 了 一 个 与 Gertner 的 概念 略微 不 同 的 DOT 协议 的 模型 ,给 出 了 安全 性 
要 求 , 并 利用 多 项 式 插值 的 方法 给 出 了 相应 的 实现 协议 。 随 后 ,Blundo555 与 Nikov55 分 别 
给 出 了 更 形式 化 的 模型 描述 ,并 构造 了 比 Naor 与 Pinkas 给 出 的 协议 更 一 般 的 方案 。Naor 
及 Nikov 等 人 的 协议 不 需要 复杂 性 假设 ,随后 ,Tzengr** 在 标准 的 复杂 性 假设 (DDH 假设 ) 
下 也 给 出 了 实现 协议 。 

DOT 协议 中 除 发 送 者 和 接收 者 外 ,还 有 一 组 与 接收 者 进行 交互 的 服务 器 , 记 为 Si ,…， 
S,。 发 送 者 首先 将 自己 拥有 的 消息 m em, 在 一 组 服务 器 中 分 享 ,而 接收 者 通过 与 全 部 
或 部 分 服务 器 进行 交互 ,根据 自己 的 选择 。 获得 消息 m... HF Naor 与 Pinkas 最 早 给 出 的 
DOT 协议 采用 了 门限 方案 ,因此 也 可 称 为 门限 OT(Threshold Oblivious Transfer) , 简 记 为 
Ck p)-OT}, Ck p)-OT} 协议 分 为 两 个 阶段 : 初始 化 阶段 与 健忘 传输 阶段 。 

CD 初始 化 阶段 。 进 行 分 享 的 阶段 ,发 送 者 依据 输入 mm。,…,m,-1 与 每 个 服务 器 S; 进行 
交互 ,结果 是 S, 得 到 程序 (或 函数 )P,。 

(2) 健忘 传输 阶段 。 接 收 者 选择 其 中 至 少 个 服务 器 并 用 输入 e 与 之 进行 交互 ,交互 
结束 后 ,接收 者 可 以 成 功 恢复 出 m. ,这 里 要 求 服务 器 之 间 没 有 任何 通信 。 

DOT 协议 的 安全 性 要 求 如 下 。 

CD 发 送 者 的 安全 性 。 当 接收 者 与 少 于 c 个 服务 器 进行 交互 , 则 接收 者 不 能 恢复 任何 
消息 ; 当 接 收 者 与 个 或 多 余 k 个 服务 器 交互 时 , 它 最 多 只 能 恢复 出 mo ,…,zzw-i+ 中 的 一 个 
消息 。 

(2) 接收 者 的 安全 性 。 存 在 1 三 kk, 任意 少 于 kk' 个 服务 器 即使 合作 也 不 能 获得 关于 
接收 者 的 选择 e 的 任何 信息 。 

(3) 抗 同 谋 性 。 存 在 1 二 kk, 接收 者 与 少 于 kk“ 个 服务 器 合作 不 能 帮助 接收 者 获得 更 
多 的 信息 。 

Naor 5j Pinkas 首先 考虑 了 较 简 单 的 比特 (k,p )-DOT? 协议 ,发 送 者 拥有 输入 mo m 
€ (0,1) ;接收 者 的 输入 为 eE {0,1}。 协 议 的 一 般 结构 如 下 : 

CD 发 送 者 随机 选择 二 元 多 项 式 QCz,y) ,使 得 mm。 一 Q(0,0) ,mi 一 Q(0,1)。 

(2) 发 送 者 将 一 元 多 项 式 Q(i,y) 发 送 给 服务 器 S;(i 二 1,…,p)。 

(3) 接收 者 随机 选择 多 项 式 ZG) ,使 得 e 一 Z(0)。 这 里 要 求 由 QGz,y) 与 ZCz) 定 义 的 
多 项 式 R(z) 一 Q(x,Z(z)) 的 次 数 为 一 1。 

(4) 接收 者 用 Z(i) 询 问 服务 器 S; ,得 到 RGD) 一 QGi,ZG))。 

(5) 当 得 到 至 少 k + RG) EH BY R(z) 而 得 到 m. 一 R(0)。 

在 具体 实现 时 ,可 以 选择 较 简单 的 多 项 式 Q(z,y) ,这 样 会 简化 协议 。 而 在 文献 [7] 中 ， 


kl 

方案 之 一 是 Q(Cz,y) 选 择 了 稀 朴 多 项 式 QCz,y) = P-(z) 十 P,(y) = Y] azi tayt, M 
j-1 

而 得 到 以 下 的 协议 11. 15. 
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TX 11.15 
发 送 者 拥有 输入 mo ,mi € (0,1) ;接收 者 的 输入 为 eE (0.1). 
(1) 初始 化 阶段 
(D 发 送 者 随机 选择 二 元 多 项 式 
Q(z,y) = P, (£) +P, (y) = arithyt+bo 


m 


使 得 m —b, m, =b, +b o 
O 发 送 者 将 一 元 多 项 式 QG« 9) = hyt (n+ 3 ai) 发 送 给 服务 器 S.C 一 1,…,p)。 


(2) 健忘 传输 阶段 

O 接收 者 随机 选择 k 一 1 次 多 项 式 ZCz) ,使 得 e=ZO). 

© 接收 者 选择 至 少 上 个 服务 器 S;,…，,S; ,用 Z(i;) 询 问 服务 器 S; ,得 到 RGO —QG;. 
ZG) G-1. D, 

@ 若 /二 上 ,接收 者 重 构 RSQ, ZG MB m, —R() 。 

在 该 协议 中 ,接收 者 最 多 只 能 得 到 关于 m, 5 m, 的 线性 组 合 。 事 实 上 IT kk 
者 不 能 得 到 信息 ; 若 /三 k (不 妨 就 设 ! 一 大 ) , 则 接收 者 可 以 得 到 以 下 方程 : 


d d 9 4 Oe i a Qi sya) 
i d? o i 13 »x|[* QG; y) 
a |= 
: b H 
it apt 99 dp Y jl QG, y) 
i 


由 于 系数 矩阵 共 大 行 ,其 前 k 列 恰 好 是 范 德 蒙 德 矩阵 ,因此 不 论 接收 者 如 何 选择 (ya ，…， 
Viz) ,接收 者 最 多 只 能 得 到 b 与 b 的 线性 组 合 , 也 就 是 m 与 mm 。 另 外 ,一 个 显然 的 事实 
是 ,只 要 接收 者 与 一 个 服务 器 合作 , 则 它 可 以 同时 得 到 m 与 m ,也 就 是 说 , 抗 同谋 性 的 门限 
* k"-1. 

文献 [7] 声 称 上 述 协 议 对 门限 k == 时 满足 接收 者 的 安全 性 ,事实 上 k— 1 服务 器 合作 
有 可 能 获得 接收 者 的 选择 e。。 假 设 接收 者 选择 的 多 项 式 为 Z(7z) 二 e 十 qz 十 … 十 ap-1z*!， 
k 一 1 个 服务 器 ,不妨 设 为 S, ,… ,Si-1, 在 分 别 得 到 Z(1),…,Z(k 一 1) 后 合作 ,用 插值 方法 
得 到 多 项 式 Z (x) —a; ata Harr ,使 其 满足 Z OSZ (i 二 1,…,k 一 1) ,于 是 
必 有 e 取 as, 从 而 车 有 afE (0,1}, 则 可 得 e 一 1 一 ab。 因此 ,和 欲 保证 接收 者 的 安全 性 ,应 有 
k’<k-1. 

文献 [34] 考 虑 了 (kk,p)-DOT? 协议 ,发 送 者 拥有 ?个 秘密 消息 ,rz ma EGF), 
接收 者 的 选择 为 eE {0,…,n 一 1}。 其 安全 性 与 上 述 协 议 的 安全 性 类 似 ,具体 参见 协议 
11.16, 

TX 11.16 

发 送 者 拥有 mo，,…,m,_1EGF(g)( 有 限 域 ) ;接收 者 的 输入 为 eE (0,1). 

(1) 初始 化 阶段 

(D 发 送 者 随机 选择 n 元 多 项 式 
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Qasr Ma) = 5 ajz? +b + b yi te + bn Yni 

满足 mo =b mi =b +b Si ge Meg " 

Q 发 送 者 将 多 项 式 Q(i, yi，…,y,-1) 发 送 给 服务 器 S; (i 二 1,…,p)。 

(2) 健忘 传输 阶段 

CD 接收 者 随机 选择 "一 1 个 一 1 次 多 项 式 Z GO Za GO ,使 得 (2Z1(0),…,Z,-1(0)) 
的 第 e 分 量 为 1 ,其余 全 部 为 0。 定义 天 一 1 次 多 项 式 

R(x) = Qr, Z, (x), e, Z, a) 

@ 接收 者 选择 至 少 上 个 服务 器 S, e S, ,用 (2 GO S Za GRIS AR BE S; ,得 
B RGO SQ SGN =1,.,1)。 

Q 若 过 上 ,接收 者 重 构 R(x) =QA(z,S(x)) Ma m, =RO). 

文献 [35] 同 样 利用 多 项 式 插值 的 方法 ,得 到 比 文献 [34] 中 协议 更 一 般 的 (k,p)-DOT? 
协议 。 具 体 协议 参见 协议 11. 17。 

协议 11.17 

发 送 者 拥有 输入 mom, EGF(g) ;接收 者 的 输入 为 eE1{0,1)。 

(1) 初始 化 阶段 

O 发 送 者 随机 选择 一 1 次 多 项 式 Bu(z) 和 n—1 A v WX EG Bi GO Boa), 
满足 

mo = Bu(0) ,ma = Bu(0) 十 Bi C) + sm,- = B,() 十 B。 (0) 
这 里 要 求 k—12vk'—1, 
Q 发 送 者 构造 n 元 多 项 式 
QGz,y… Ye) = Bo Cx) + Bi (x) y, + oe + Bi (x) yi 

并 将 多 项 式 Q(i,y，…,y,-1) 发 送 给 服务 器 S;G=1, ++. D. 

(2) 健忘 传输 阶段 

CD 接收 者 随机 选择 2 一 1 个 k' 一 1 次 多 项 式 Z GO Zia GO ,使 得 (ZI (0)，…， 
2Z,-1(0) ) 的 第 。 分 量 为 1, 其 余 全 部 为 0。 定 义 k 一 1 次 多 项 式 

R(x) = Q(x, ZG) Z, a (72)) 

@ 接收 者 选择 至 少 个 服务 器 Ss en S, F(Z, GO e Za GBA E S, o 

@ 服务 器 S; 发 送 R(i) 二 Q(i;,S(i;)) 给 接收 者 (二 1,… De 

@ 若 /三 上 ,接收 者 重 构 R =R, SDMA] m, =R). 

该 协议 的 正确 性 容易 得 到 证 明 。 由 于 B (x) ,…,B。,(z) 的 次 数 为 v, 因 此 接收 者 即使 
与 v 个 服务 器 合作 ,也 不 能 获得 除 m. 以 外 的 更 多 信息 。 值 得 注意 的 是 ,尽管 接收 者 将 自己 
的 选择 隐藏 在 k' 一 1 次 多 项 式 中 ,但 利用 与 分 析 (k,p)-DOT? 协议 相同 的 方法 ,k' 一 1 个 服 
务 器 合作 是 有 可 能 获得 有 关 e 的 信息 。 

除了 以 上 基于 多 项 式 插值 的 门限 (k,p)-DOT? 协议 外 ,文献 [ 35 还 给 出 一 般 存 取 结构 
模型 中 的 DOT 协议 。 而 文献 [36] 给 出 了 基于 DDH 假设 的 (k,p)-DOT? 协议 。 
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11.5 小 结 


健忘 传输 协议 可 用 于 实现 安全 多 方 计算 ,也 是 构建 其 他 安全 协议 的 基础 之 一 。 因 此 其 
研究 受到 人 们 的 广泛 关注 。 这 些 研究 问题 主要 包括 如 何 实现 高 效 的 OT; 协议 ?如何 由 基 
本 OTi 协 议 ( 或 小 规模 的 OT 协议 ) 构 造 一 般 的 OT; Ckz D Bet? 如 何 刻画 OT 协议 在 并 
发 环境 下 的 安全 性 和 UC 安全 性 ? 是 否 可 能 在 更 弱 的 假设 下 构造 OT 协议 ? 虽然 本 章 已 回 
答 了 部 分 问题 并 介绍 了 一 些 典型 的 相关 工作 ,但 是 这 些 研 究 问题 仍 是 人 们 一 直 甚至 长 期 关 
注 的 研究 焦点 。 

本 章 11. 3 节 对 初学 者 来 说 ,可 能 不 太 好 理解 。 这 里 将 OT 协议 归结 为 一 个 两 方 安全 计 
算 问 题 ,因此 ,为 了 更 好 地 理解 这 部 分 内 容 , 在 学 习 这 部 分 内 容 时 可 穿插 阅读 本 书 第 6 章 的 
相关 内 容 , 这 样 做 对 于 一 些 安全 模型 的 理解 也 是 有 好 处 的 。 我 们 在 这 一 领域 也 取得 了 一 些 
其 他 研究 成 果 , 感 兴趣 的 读者 可 参阅 文献 [37] 一 [39]。 本 章 在 写作 过 程 中 得 到 了 李 红 达 教 
授 的 大 力 支持 ,他 提供 了 大 量 的 相关 材料 ,作者 在 此 表示 衷心 的 感谢 。 
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在 电子 交易 (如 电子 投标 和 拍卖 .电子 合同 签署 .电子 匿名 交易 )、 电 子 选举 和 电子 支付 
等 应 用 场景 中 交易 的 双方 ,往往 其 利益 目标 不 一 致 。 因 此 ,在 设计 这 些 场景 中 所 应 用 的 安全 
协议 时 应 遵循 公平 性 原则 , 即 参 与 协议 的 任何 一 方 在 协议 执行 的 任何 阶段 都 不 能 处 于 一 种 
相对 有 利 的 地 位 ,应 保证 交易 双方 都 不 能 通过 损害 对 方 利益 而 得 到 它 不 应 得 的 利益 。 本 章 
主要 从 公平 性 的 角度 介绍 一 些 安全 协议 , 称 为 公平 交换 协议 。 


12.1 承诺 方案 


承诺 方案 是 一 个 常用 的 基本 模块 。 一 个 承诺 方案 Com 是 一 个 两 方 协议 , 它 包含 两 个 阶 
段 : 承诺 阶段 和 打开 阶段 。 在 承诺 阶段 ,承诺 者 C 和 接收 者 R 先 执行 一 个 (可 能 需要 交互 ) 
协议 为 一 个 具体 的 承诺 方案 生成 所 需 的 参数 (为 简单 起 见 , 仍 把 这 个 具体 的 方案 记 作 
Com) 。 给 定 被 承诺 的 消息 m. C 挑选 一 个 随机 比特 串 ~ 计算 c 二 Com(m,r) 并 将 c 发送 给 
R, 这 样 就 完成 了 承诺 阶段 。 在 打开 阶段 ,C 将 被 承诺 的 消息 m 和 承诺 时 使 用 的 随机 数 一 
并 发 送 给 R,R 通过 验证 c 二 Com(m,7r) 是 否 成 立 来 判断 m. 是 否 为 C 在 承诺 阶段 承诺 的 
消息 。 

也 可 以 把 执行 一 次 承诺 方案 想象 成 一 个 物理 过 程 : 在 承诺 阶段 ,承诺 者 C 把 某 条 消息 
写 在 纸 上 , 然 后 把 它 锁 进 一 个 铁 箱 里 ,最 后 把 这 个 铁 箱 交 给 接收 者 R; 在 打开 阶段 ,承诺 者 拿 
出 钥匙 打开 铁 箱 , 取 出 纸 条 交 给 接收 者 R。 

一 般 把 承诺 阶段 需要 交互 的 次 数 (C A R 发 送 消息 次 数 的 总 和 ) 称 为 承诺 方案 的 轮 数 ， 
而 1 轮 的 承诺 方案 也 称 为 非 交 互 的 承诺 方案 , 即 在 承诺 阶段 不 需要 接收 者 发 送 消息 。 

承诺 方案 通常 被 要 求 满足 以 下 两 个 安全 性 条 件 。 

(1) 隐藏 性 (Hiding ,也 称 隐蔽 性 )。 对 于 任意 多 项 式 规 模 的 电路 R* ,给 定 任意 的 两 个 
等 长 的 比特 串 m。 和 mm ,对 于 随机 选取 的 m 和 六 ,在 承诺 阶段 结束 时 ,co =Com(m 7) 5 
c, =Com(m ,ni) 计 算 不 可 区 分 。 

(2) 绑 定性 (Binding, 也 称 约束 性 ) 。 对 于 任意 多 项 式 规模 的 电路 C" , 它 能 计算 出 mo. 
my ro 和 ,使 得 mo Am, 并 且 Comm, ro) =Com (mn: :mm) 的 概率 是 可 忽略 的 。 这 意味 着 
承诺 阶段 结束 后 ,承诺 者 不 能 改变 被 承诺 的 消息 。 

满足 上 述 条 件 的 承诺 方案 称 为 计算 隐藏 且 计 算 绑 定 的 承诺 方案 。 虽 然 能 从 任意 的 单 向 
函数 构造 出 这 样 的 方案 ,但 已 知 的 基于 单 向 函数 的 方案 在 承诺 阶段 需要 交互 (准确 地 说 , 承 
诺 阶段 由 两 轮 消 息 构成 )。 如 果 假 设 单 向 置换 存在 , 则 存在 非 交互 的 计算 隐藏 且 计 算 绑 定 的 
承诺 方案 。 

根据 对 敌手 计算 能 力 假定 的 不 同 ,还 有 以 下 几 种 承诺 方案 。 

统计 隐藏 且 计 算 绑 定 的 承诺 方案 。 这 种 方案 的 绑 定性 要 求 和 上 面 的 条 件 (2) 一 样 ,但 
它 满足 更 强 的 隐藏 性 要 求 : 对 于 有 着 无 限 计算 能 力 的 接收 者 ,上 述 co ComOn, ,m) 与 6 = 
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Comm, ,rn ) 统 计 不 可 区 分 。 在 构造 方面 ,目前 能 从 任意 的 单 向 函数 构造 交互 的 统计 隐藏 和 
计算 绑 定 的 承诺 方案 。 如 果 假 定 离散 对 数 问题 是 困难 的 , 则 存在 两 轮 的 统计 隐藏 且 计 算 绑 
定 的 承诺 方案 。 

计算 隐藏 且 统 计 绑 定 的 承诺 方案 。 这 种 方案 的 隐藏 性 要 求 和 上 面 的 条 件 (1) 一 样 ,但 它 
满足 更 强 的 绑 定性 要 求 : 即使 承诺 者 有 着 无 限 的 计算 能 力 , 它 能 把 一 个 承诺 成 功 地 打开 成 
两 个 消息 的 概率 也 是 可 忽略 的 。 如 果 假 定单 向 函数 存在 , 则 存在 两 轮 的 计算 隐藏 和 统计 绑 
定 的 承诺 方案 。 构 造 非 交互 的 这 样 的 方案 则 需要 假设 单 向 置换 存在 (或 假定 更 强 的 数论 
问题 ) 。 

类 似 地 ,也 可 以 定义 完美 隐藏 且 计 算 绑 定 的 承诺 方案 和 计算 隐藏 且 完 美 绑 定 的 承诺 方 
案 。 如 无 特别 声明 ,承诺 方案 一 般 指 的 是 计算 隐藏 且 计 算 绑 定 的 承诺 方案 ,而 统计 (完美 ) 隐 
藏 的 承诺 方案 和 统计 (完美 ) 绑 定 的 承诺 方案 则 分 别 指 的 是 统计 (完美 ) 隐 藏 且 计算 绑 定 的 承 
诺 方案 和 计算 隐藏 且 统 计 ( 完 美 ) 绑 定 的 承诺 方案 。 根 据 定义 ,读者 可 以 验证 不 存在 统计 隐 
藏 且 统计 绑 定 的 承诺 方案 这 一 事实 。 

陷 门 承诺 方案 是 一 类 特殊 而 重要 的 承诺 方案 ,正如 陷 门 承诺 方案 的 名 字 所 暗示 的 那样 ， 
陷 门 承诺 方案 的 公共 参数 中 含有 陷 门 信息 。 对 于 不 使 用 这 些 陷 门 信息 的 诚实 的 双方 , 它 就 
是 一 个 普通 的 承诺 方案 。 如 果 拥 有 这 个 陷 门 信息 ,一 个 承诺 者 就 可 以 将 一 个 承诺 打开 成 他 
想 要 的 任意 值 。 

一 个 陷 门 承诺 方案 满足 以 下 的 属性 。 

COD 存在 一 个 生成 方案 的 PPT 算法 G, 给 定 1" 作为 输入 ,输出 对 (pk,r) ,这 里 pk 为 方 
案 的 参数 ,r 为 陷 门 信息 。 

(2) 在 没有 使 用 陷 门 信息 = 的 情况 下 ,由 pk 指定 的 承诺 方案 Comw 是 一 个 标准 的 完美 
(或 统计 ) 隐 藏 的 承诺 方案 。 

(3) 给 定 陷 门 信息 r, 则 存在 一 个 高 效 的 PPT 算法 能 将 任意 一 个 承诺 打开 成 任意 指定 
的 值 。 

下 面 介绍 两 个 典型 的 承诺 方案 。 


12.1.1 比特 承诺 方案 


一 般 地 ,比特 承诺 方案 通过 一 个 函数 f {0,1) X X Y 来 实现 ,这 里 X 和 了 是 两 个 有 
限 集 。5E {0,1) 的 密 文 随机 地 在 集合 {f(5,z): zEX} 中 取 值 。 比 特 承诺 方案 应 能 满足 以 
下 两 个 特性 : 

CD 隐藏 性 : XE DE (0.1) ,接收 者 不 能 从 f(5,z) 确 定 出 5 的 值 。 

(2) 绑 定性 : 发 送 者 能 “打开 ”f(b, x) , 即 发 送 者 能 通过 揭露 辅助 值 x 使 接收 者 相信 6 
是 唯一 可 能 被 加 密 的 值 。 

如 果 发 送 者 想 承诺 任何 比特 串 *, 那 么 他 可 以 通过 分 别 独立 地 承诺 的 每 一 个 比特 来 完 
成 。 比 特 承诺 方案 可 记 为 f(s,)。 

目前 已 有 很 多 比特 承诺 方案 ,实现 方法 也 很 多 ,这 里 仅 介绍 一 个 基于 Goldwasser- 
Micali 概率 加 密 算法 实现 的 比特 承诺 方案 。 

首先 来 介绍 Goldwasser Micali 概率 加 密 算 法 口 。 
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Wb n— pos p 和 9 是 素数 。 选 择 一 个 正 整 数 z& QRGO B (7) 1. QRGO RAE n WT 
次 剩余 之 集 , (三) 表示 + 关于 模 n 的 Jacobi 符号 。 公 开 n c RH pMa P=C= Zt. 
K= [esas Ino pa p Ma 为 素数 +E QRGD) (7) 21]. 

X} K=(n,t, p,q) ,定义 加 密 变 换 为 Ex Gro r) — ym On eyes yn) JEP yi tr? mod 
ny Lin x= (ay 422 yz)EP,r 一 (mr ,mm) 是 随机 选择 的 一 个 向 量 。 

解密 变换 为 : Dk OS Ca zan e) ,其 中 

位 y; € QRG) 

Ti 二 LI 

1. yx» €QRGD 

知道 n 的 分 解 的 用 户 可 通过 下 列 方法 确定 y,E QRDE TE y: € QR) 


D ARE (5+) =y mod p, (2) =y mod q, 


Ixisn.y—(Ciyi7»)0€€ 


(2) HE QR e9(F)=1,(2)=1, 


接 下 来 介绍 一 个 基于 Goldwasser-Micali 概率 加 密 算 法 的 比特 承诺 方案 。 

B n—pq.p 和 g 都 是 素数 ,mm € QRGO = (| Gr/ p) — Gc/q) — — 1) AF n Am on 的 分 
解 只 有 发 送 者 知道 。 设 X 一 Y 一 Z, .f(b,x)=m'x* mod n。 发 送 者 通过 选择 一 个 随机 数 x 
加 密 5 ,加密 结 果 为 y 二 (5,z)。 当 发 送 者 想 * 打 开 ”y 时 , 它 揭露 值 2 和 并 ,接收 者 验证 y= 
m'x* mod n, 

假定 二 次 剩余 问题 是 不 可 行 的 ,那么 f(b,z) 没 有 泄露 关于 5 和 xz 的 任何 信息 。 所 以 该 
方案 满足 隐藏 性 。 

现在 来 说 明 该 方案 满足 绑 定性 。 若 该 方案 不 满足 绑 定性 , 则 存在 zi ,zz EZ," ,使 得 
mz 三 zz mod 2 ,这样 m=(2,2,_')* mod n, 说明 mE QR(n). Bl m 是 一 个 二 次 剩余 ,这 与 
mEQR(Cz) 相 矛盾 。 


12.1.2 Pedersen 承诺 方案 


对 比特 的 承诺 也 可 以 推广 到 对 消息 的 承诺 , Pedersen 承诺 方案 中 就 是 一 个 对 消息 进行 
承诺 的 方案 。Pedersen 承诺 方案 是 一 个 两 轮 的 具有 完美 隐藏 的 承诺 方案 。 

设 为 安全 参数 ,p 和 4g 为 两 个 大 素数 ,使 得 p 二 2g 十 1, 1q| 二 nn,G, AZ; 的 一 个 阶 为 q 
的 子 群 ,g 是 G, 的 一 个 生成 元 。 

Pedersen 承诺 方案 中 的 承诺 过 程 如 下 : 接收 者 首先 发 送 一 个 G, 中 的 随机 元 素 有 ;承诺 
者 收 到 及 后 ,为 了 承诺 一 个 值 y, 他 随机 选取 承诺 密 钥 rERZ, ,计算 C= gh" mod p 并 把 C 
发 送 给 接收 者 。 如 果 要 打开 承诺 C, 承 诺 者 只 需 把 y 和 > 发 送 给 接收 者 即 可 。 

Petersen 承诺 方案 的 完美 隐藏 性 不 需要 依赖 任何 困难 性 假设 ,但 它 的 计算 绑 定 性 依赖 
于 求 离散 对 数 的 困难 性 , 即 离散 对 数 假 设 。 

Pedersen 承诺 方案 可 被 修改 成 一 个 陷 门 承诺 方案 。 如 果 承 诺 者 能 得 到 陷 门 信息 z 使 
18 h —g" mod p, 那 么 它 就 能 将 一 个 承诺 C= gh’ mod p HARESH y 。 在 打开 阶段 ， 
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EHA = mod g RŽ Y Rr. 


12.2 电子 选举 协议 


在 民主 社会 中 ,选举 总 是 使 用 一 个 锁 着 的 箱子 ,该 箱子 的 顶部 有 一 个 可 放 入 选票 的 小 
颖 ,每 次 选举 的 选票 是 由 选举 委员 会 特制 的 。 在 选举 时 ,人 们 将 填 好 的 选票 一 张 接 一 张 地 投 
入 选票 箱 。 这 样 做 的 目的 是 确保 选票 的 匿名 性 。 随 着 计算 机 技术 和 通信 技术 的 发 展 ,信息 
处 理 和 分 配 的 量 和 速度 都 迅猛 增加 ,电子 选举 已 成 为 可 能 。 

从 理论 上 来 讲 , 一 个 选举 协议 是 具有 秘密 输入 值 的 多 成 员 的 计算 , 它 使 得 输出 的 正确 性 
是 可 检验 的 。 从 实际 应 用 来 讲 , 一 个 选举 协议 可 通过 加 密 、 讶 签名 和 别 的 密码 技术 来 实现 。 

一 个 理想 的 电子 选举 协议 应 满足 以 下 一 些 特性 。 

CL) 完全 性 : 所 有 合法 选票 都 能 被 正确 地 统计 (计数 ) 。 

(2) 合理 性 : 不 诚实 的 选举 者 不 能 扰乱 选举 。 

(3) 秘密 性 : 所 有 的 选票 都 是 秘密 的 , 即 能 保护 个 人 隐私 。 

(4) 不 可 重复 性 : 任何 选举 者 都 不 能 投 两 次 票 。 

(5) 合法 性 : 只 有 经 许可 的 选举 者 才能 投票 。 

(6) 公平 性 : 任何 事情 都 不 能 影响 选举 。 

(7) 可 验证 性 : 所 有 选举 者 都 能 检验 他 们 的 选票 在 最 后 的 表 中 是 否 被 统计 上 。 

目前 人 们 已 经 提出 了 许多 选举 协议 ,在 这 些 协议 中 ,有 的 满足 上 述 全 部 特性 ;有 的 满足 
上 述 部 分 特性 ;有 的 除 满足 上 述 全 部 或 部 分 特性 外 ,还 满足 别 的 一 些 特性 。 本 节 只 介绍 一 个 
使 用 讶 签名 技术 设计 的 满足 上 述 全 部 特性 的 选举 协议 , 称 为 FOO 选举 协议 中 。 

在 FOO 选举 协议 中 ,主要 有 3 种 参加 者 , 即 选 举 者 .一 个 选举 管理 中 心 和 一 个 计 票 者 
( 计 票 者 可 能 由 一 个 公开 的 广告 牌 来 代替 )。 该 协议 的 设计 需要 3 种 密码 技术 , 即 比特 承诺 
技术 、 普 通 的 数字 签名 技术 和 盲 数字 签名 技术 。 

在 FOO 选举 协议 中 ,选举 管理 中 心 所 使 用 的 盲 数字 签名 协议 可 以 是 任何 一 种 讶 数字 
签名 协议 ,为 叙述 方便 ,这 里 选择 基于 RSA 的 盲 数字 签名 协议 。 

预备 阶段 : 选举 者 V; 选 择 并 填写 一 张 选票 v; ,随机 选择 一 个 密 钥 六 ,用 比特 承诺 方案 了 
加 密 v; , 即 计 算 r= fok). BÉBLGETE— T BIN Y r: € Z,^ 盲 化 zx;, 即 计算 e =H GO 
mod n 并 对 e; 签名 得 s; 二 oa;(e;)。 然 后 将 (ID; ,e;,s;) 发 送 给 选举 管理 中 心 A。 其 中 oU 
Vi; 的 签名 方案 ,ID; 为 Vi; 的 身份 证 ,HH 是 一 个 公开 的 单 向 函数 。 

颁发 选举 证 书 阶 段 : 选举 管理 中 心 A 检查 选举 者 V; 有 无 权力 选举 ,如果 V; 无 权 参加 选 
举 , 则 A 拒绝 给 Vi 颁发 选举 证 书 ; 否 则 ,人 A 检查 V; 是 否 已 经 申请 过 一 个 选举 证 书 ,如 果 Vi 已 
申请 过 ,A 拒绝 再 给 Vi; 颁发 ;否则 ,A 检查 :是 否 是 消息 e; 的 合法 签名 ,如 果 是 则 A 对 ei; 签 
名 , 即 计算 d; —e;^ mod n 并 将 di; 发 送 给 Vi;, 作 为 A 颁布 给 V; 的 选举 证 书 。 在 颁发 选举 证 书 
Wr BCK «A 宣布 已 获得 选举 证 书 的 选举 者 的 总 数 并 公布 包含 有 (ID; ,e;,s;) 的 一 张 表 。 

投票 阶段 : 选举 者 V; 通 过 对 d; 脱 盲 恢 复 A 对 2WEX y—d/r,.—HG;" mod n. V; 
检查 y; 是 否 是 A 对 zi 的 合法 签名 , WERE. Vi; 向 A 证明 (xz; ,yi) 不 合法 ,并 另 选 一 个 wv 来 
重新 获取 选举 证 书 , 否 则 V; 匿 名 地 将 (z; ,y;) 发 送 给 计 票 者 C。 
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收集 选票 阶段 : 计 票 者 C 通过 使 用 A 的 签名 验证 方程 检查 y; 是 否 是 zx; 的 合法 签名 。 
如 果 是 ,C 将 (7,zi,yi) 填 入 表 12.1 中 ,其 中 1 是 (zi,yi) 的 编号 。 在 所 有 的 选举 者 投 完 票 后 ， 
C 公 开 该 表 。 
表 12.1 收集 选票 阶段 的 选票 表 
序号 选票 和 附加 信息 


公开 阶段 : 选举 者 Vi 检查 选票 的 数量 是 否 等 于 选票 者 的 数量 。 如 果 不 相 等 ,要求 其 选 
票 未 被 收入 的 选举 者 公开 他 们 加 密 时 使 用 的 六 。V; 检 查 他 的 选票 是 否 列 在 表 中 ,如 果 Vi 没 
有 列 在 表 中 ,V; 公 开 (zi,y) ,选举 中 心 A 检验 Vi 的 选票 是 否 合法 。 合 法 的 选举 者 可 以 要 求 
将 他 的 选票 列 人 选票 表 。 表 上 有 序号 1 的 V; 将 (1,k;) 匿 名 地 发 送 给 C. 

统计 选票 阶段 : 计 票 者 C“ 打 开 ” 选 票 x; 的 承诺 ,恢复 选票 v; 并 检查 w 是 否 是 合法 的 选 
票 。C 统计 (计数 ) 选 票 并 宣布 选举 结果 ( 表 12.2). 

表 12.2 统计 选票 阶段 的 选票 表 
序号 选票 和 附加 信息 


1 Z vyj» ki vv 


l x; s Yis Kis vi 


12.3 智力 扑克 协议 


智力 扑克 类 似 于 普通 扑克 ,只 是 没有 牌 也 没有 口头 通信 ,参加 者 之 间 的 所 有 交换 都 必 
须 用 消息 完成 。 任 一 牌 手 都 有 可 能 想 欺 骗 对 方 。 

公平 比赛 至 少 要 满足 以 下 要 求 。 

(1) 比赛 必须 从 “公平 发 牌 ”开始 。 假 定 牌 手 们 通过 交换 一 系列 消息 实现 了 发 牌 , 则 发 
牌 结果 应 满足 下 述 条 件 : 

CD 牌 手 应 知道 自己 手中 的 牌 ,但 不 知道 其 他 人 的 牌 。 

© 手中 的 牌 应 不 相连 贯 。 

@ 每 位 牌 手 手中 牌 的 分 布 应 是 相同 的 。 

(2) 比赛 中 , 牌 手 可 能 要 从 剩 下 的 牌 中 补 抓 几 张 牌 , 补 抓 牌 的 结果 也 应 像 (1) 中 所 述 的 
那样 是 公平 的 。 牌 手 还 必须 能 将 牌 出 示 给 对 方 而 不 泄露 他 们 手中 其 余 牌 的 秘密 。 

G) 比赛 结束 时 , 牌 手 们 应 能 检验 比赛 是 否 公平 ,以 及 他 们 的 对 手 有 没有 骗 人 。 特 别 是 
要 能 检查 赢家 是 否 作 整 。 

为 叙述 方便 起 见 ,假定 只 有 两 个 牌 手 A 和 B 玩 牌 ,每 个 人 都 有 一 个 秘密 密 钥 , 这 些 密 钥 
在 比赛 结束 以 后 才 公 开 。 设 Es 和 DA 分 别 表示 A 的 加 密 变换 和 解密 变换 。Es 和 Ds 分 别 


w 
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表示 也 的 加 密 变换 和 解密 变换 。A 和 B 的 加 密 变 换 必 须 是 可 换 的 , 即 对 于 任何 消息 M, 
E,(E3(M))=E,(E,(M)). 

以 消息 M; OLLI 52) RS 52 张 牌 。B 开始 发 牌 ,发 牌 协议 如 下 。 

(D B 对 52 个 消息 M;( 委 过 52) 加 密 , 得 到 52 个 密 文 消息 : Es(M)(1 委 过 52) ,而 后 
他 随机 地 洗 这 一 副 加 了 密 的 牌 并 将 其 送 给 A. 

(2) A 随机 地 选 出 5 个 密 文 消息 ,并 送 回 给 B,B 将 它们 解密 后 留 在 手中 。 

(3) A 再 随机 地 选 出 5 个 密 文 消息 C; 二 Es(M;)(1<i<5), 他 用 自己 的 密 钥 对 这 5 个 
消息 再 加 密 ,得 到 C — EA CC (1<i<5), 而 后 ,将 这 5 个 通过 两 次 加 密 的 消息 发 送 给 B. 

(4) B 用 他 的 密 钥 对 每 个 消息 C;(1<i<<5) 进行 解密 ,得 到 Ds CCO = Ds (Es (Es 
(M; )))=D; (Er (E, (Mj; )))=E, (M; )。 他 将 这 5 个 消息 送 给 A, 而 后 A 用 他 的 密 钥 将 它 
们 解密 并 留 在 手中 。 

在 比赛 过 程 中 ,可 重复 上 述 过 程 来 添 牌 。 

因为 在 模 算术 下 指数 是 可 换 的 ,所 以 可 使 用 RSA 密码 算法 来 实现 智力 扑克 协议 。 但 用 
RSA 密码 算法 来 实现 智力 扑克 协议 会 有 少量 信息 被 泄露 。 这 主要 是 因为 指数 变换 f(a) = 
x mod n 将 二 次 剩余 仍 变 为 二 次 剩余 的 缘故 。 这 个 特性 可 被 用 来 标记 某 些 牌 ,比如 所 有 的 
“A”。 一 种 解决 方法 是 把 所 有 的 数 都 变 成 二 次 剩余 ,这 是 可 能 的 ,因为 一 个 模 素数 p 的 非 二 
次 剩余 乘 以 一 个 模 素数 p 的 非 二 次 剩余 就 是 一 个 模 素数 p 的 二 次 剩余 。 


12.4 公平 掷 币 协议 


Blum"? t 1982 年 采用 比特 承诺 协议 给 出 了 一 种 通过 网 络 或 电话 实现 A 和 也 之 间 公平 
$$ (Coin Flipping) 的 方法 。 其 协议 如 下 。 

CD A 用 任何 一 个 比特 承诺 方案 承诺 一 个 bit 发 送 给 B. 

(2) B 试图 对 此 bit 进行 猜测 ,并 将 其 猜测 值 发 送 给 A。 

(3) A 向 B 披 露 他 的 承诺 bit。 如 果 B 的 猜测 正确 , 则 B 为 赢家 ;和 否则 为 输家 。 

显然 为 了 做 到 公平 ,A 必须 在 也 猜测 前 将 他 掷 硬币 的 结果 发 送 给 B, 且 在 得 到 也 的 猜测 
后 不 能 重新 搁 硬 币 。B 必须 在 做 猜测 前 不 能 得 知 A 掷 硬 币 的 结果 。 其 关键 问题 是 设计 一 
种 协议 ,B 可 以 叫 “ 正 面 ”或 “反面 ”,A 可 以 按 一 种 方式 掷 硬 币 ,使 每 个 人 都 有 50% 的 机 会 获 
胜 。 现 在 已 有 很 多 种 实现 方法 ,包括 利用 单 向 函数 ,采用 公 钥 密码 体制 ,采用 平方 根 ,利用 模 
素数 指数 和 Blum 整数 等 均 可 实现 掷 硬 币 协议 。 这 里 介绍 一 个 利用 Blum 整数 实现 掷 硬 币 
的 协议 。 

Blum 掷 硬币 协议 如 下 。 

(1) A 选 出 两 个 大 素数 p 和 gq, 使 得 n 二 pq 是 一 个 Blum 整数 ,并 将 n 发 送 给 B。 

(2) BÉR n 是 否 为 素数 、 素 数 早 或 偶数 ,如 果 是 , 则 A 就 是 骗 人 并 认输 ;否则 ,B 取 一 
x Ff a= r’ mod n 送 给 A, 

(3) A 计算 a 的 4 个 根 ,随机 地 取出 一 个 送 给 B。 

(4) 若 了 可 分 解 n, 他 就 获胜 。 

之 所 以 选择 n= pq 为 Blum 整数 , 即 p mod 4—q mod 4 一 3, 是 为 了 便于 A 求解 a 二 xz 
mod n 的 根 。 实 际 上 可 以 是 任何 两 个 大 素数 p 和 9g 之 积 。 
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12.5 比较 数 的 大 小 协议 


Salomaa 于 1990 年 给 出 了 一 个 可 以 比较 两 个 整数 的 大 小 而 又 不 泄露 具体 数值 的 协 
W, mi Yao 的 百 万 富翁 问题 就 是 此 问题 的 一 个 特例 "9 。 

假定 1i, j «100, A 知道 i,B 知道 j,A 和 B 均 采用 公 钥 加 密 算法 。 比 较 i 和 j 大 小 的 
协议 执行 过 程 如 下 。 

COD. A 选择 一 个 随机 大 整数 zx, 用 B 的 公 钥 加 密 得 c 一 Ea(z) 。 

(2) A 计算 c 一 i, 并 将 结果 发 送 给 B。 

(3) B 计算 下 面 100 个 数 : y, =Dg(c—i+u),1l<u<100, 
其 中 ,Ds 表示 B 的 解密 变换 。B 选择 大 素数 p(p 应 小 于 z, 但 B 不 知道 zx,A 要 将 工 的 量 级 
告诉 B) ,计算 下 面 100 个 数 : z, — y, mod p(1 us 100) , 1 e Je t8 X1 Br KY uev 
| z, zo | Z2 和 对 所 有 的 x 有 O< <p 1, MRAM B CE PE 3 — TRB. BI 
满足 上 述 条 件 为 止 。 

(4) B 将 下 面 的 数列 依次 发 送 给 A: 

2Z1922 Zjos Zj 十 1 sZt 十 l,io0 十 1 

(5) A 检验 接收 数列 中 的 第 i 个 数 是 否 同 余 于 x mod p; 如 果 是 , 则 A 知道 i<j; 否 则 
有 i>j。 

(6) A 将 结论 告诉 B。 

协议 的 第 (3) 步 中 B. 所 做 的 工作 保证 在 第 (4) 步 的 数列 中 的 数 没有 重复 ;否则 , 若 z, = 
zo Bl] A 可 以 推 知 ,ae<7j 委 5。 该 协议 的 一 个 缺点 是 : A 先 于 B 知道 结果 , 若 他 不 愿意 将 真实 
结果 告诉 B,B 也 无 可 奈何 。 

可 以 将 上 述 协议 推广 到 一 组 人 ,通过 计算 机 网 络 按 一 定 逻 辑 排序 ,逐个 比较 他 们 的 秘密 
数 的 大 小 ,也 可 以 将 上 述 协议 用 于 比较 两 个 人 的 年 龄 大 小 .讨价还价 谈判、 仲裁 和 ”爱好 匹 


配 * 等 。 
12.6 公平 认证 密 钥 交 换 协 议 


秘密 通信 的 主要 目的 是 阻止 非 授 权 方 获取 合法 通信 方 之 间 传 递 的 秘密 信息 ,其 研究 焦 
点 是 在 各 授权 方 之 间 建立 安全 信道 以 防范 非 授权 第 三 方 (窃听 方 或 主动 攻击 方 ) 获 得 秘密 信 
息 ,在 信息 安全 领域 通常 可 以 归结 为 认证 密 钥 交换 (AKE) 协 议 问题 。 在 AKE 协议 模型 中 ， 
考虑 的 敌手 是 某 非 授权 的 第 三 方 ,而 对 授权 方 (合法 通信 的 双方 或 多 方 ) 的 行为 并 没有 什么 
限制 , 即 授权 方 可 以 自由 揭示 任何 有 关 通 信 信 息 , 没 有 对 此 采取 任何 技术 防范 手段 。 在 政 
府 、 军 事 和 外 交 等 领域 ,这 个 问题 显得 并 不 特别 突出 。 但 当今 社会 已 经 步 人 网 络 时 代 , 隐 私 
权 问 题 已 经 成 为 一 个 相当 广泛 而 核心 的 概念 ; 另 一 方面 ,目前 像 网 上 购物 或 通过 登录 特定 网 
站 获取 服务 代理 商 的 服务 这 样 的 网 上 交易 业务 日 益 普遍 ,关于 服务 商 是 否 提供 过 某 特定 服 
务 这 样 的 纠纷 也 逐渐 增多 。 如 何平 衡 保护 个 人 隐私 和 确保 网 上 交易 公平 之 间 的 矛盾 已 经 成 
为 一 个 不 容 忽 视 的 问题 。 为 解决 该 问题 ,Feng 等 人 提出 了 “公平 认证 密 钥 交换 (FAKE)” 的 
BEO ,系统 规划 了 FAKE 协议 的 形式 化 安全 模型 ,并 给 出 了 可 证 明 安全 的 具体 设计 实例 。 
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本 节 主 要 介绍 这 一 工作 。 
12.6.1 公平 认证 密 钥 交换 的 基本 思想 


在 具体 阐述 FAKE 的 基本 思想 之 前 ,无 妨 设想 以 下 的 应 用 场景 : 无 论 在 何 地 ,客户 C 
因 某 种 商务 或 个 人 需要 ,需要 通过 个 人 计算 机 终端 登录 某 服务 器 S 以 获取 相应 服务 。 一 般 
做 法 是 : C 利用 自己 的 Smart 卡 ( 公 钥 证 书 ) 或 口令 远程 登录 服务 器 ,通过 执行 一 个 安全 的 
AKE 协议 ,使 得 C 和 S 之 间 共 享 一 个 秘密 会 话 密 钥 人 ,然后 在 的 保护 下 C 从 S 获得 具体 
服务 (如 加 密 通 信 ) 。 

显然 ,如 果 AKE 协议 是 安全 的 ,那么 除了 C 和 S 之 外 的 任何 第 三 方 不 足以 对 通信 内 容 
的 机 密 性 、 认 证 性 构成 威胁 。 但 问题 是 : 作为 信任 方 之 一 的 服务 器 S 往往 具有 向 第 三 方 提 
供 “数字 证 明 ” 的 能 力 : 证 实 某 时 某 刻 客户 C 曾经 向 S 申请 了 某 具 体 服 务 , 这 很 可 能 严重 威 
胁 了 客户 C 的 隐私 权 。 产 生 这 个 问题 的 原因 显然 在 于 S 可 以 不 受 任何 限制 地 泄露 有 关 客 
PC 的 信息 。 

文献 [8] 中 提出 使 用 "可 否认 的 密 钥 交 换 协议 "来 解决 这 个 问题 ,基本 想法 是 把 文献 [9] 
中 提出 的 “可 否认 的 认证 ?扩展 为 "可 否认 的 密 钥 交换 协议 ”, 即 设计 密 钥 交换 协议 时 , 既 要 考 
虑 满足 一 般 意义 下 的 AKE 协议 的 安全 性 ,同时 还 要 满足 可 否认 性 : 消息 的 发 送 方 或 所 有 者 
在 必要 时 可 以 否认 曾经 发 送 过 该 消息 ( 另 一 方 不 具有 向 第 三 方 证 实 曾经 发 生 过 会 话 的 能 
FAY ,但 文献 [8] 中 并 未 提出 这 类 具体 协议 的 实例 ,只 是 证 明了 基于 公 钥 密码 的 Internet 密 钥 
交换 协议 SKEME"” 满足 可 否认 性 。 并 特别 指出 ,当前 多 数 AKE 协议 并 不 满足 可 否认 性 ， 
因为 为 了 抵抗 诸如 密 钥 蔡 换 之 类 的 攻击 ,往往 需要 在 协议 会 话 中 加 入 用 户 身份 信息 ,而 且 广 
泛 使 用 数字 签名 消息 认证 码 等 技术 ,这 都 使 得 协议 会 话 记录 与 用 户 身份 绑 定 。 

可 香 认 的 密 钥 交换 协议 的 重要 应 用 意义 还 在 于 : 合法 通信 双方 执行 协议 的 结果 是 达成 
共享 会 话 密 钥 K, 然 后 在 进一步 会 话 中 使 用 K 通过 对 称 密码 算法 加 密 传递 或 认证 消息 ;而 
如 果 会 话 是 可 否认 的 ,那么 进一步 使 用 K 保护 的 会 话 显然 也 是 可 否认 的 (因为 会 话 密 钥 K 
和 用 户 身份 ID 不 再 绑 定 )。 因 此 ,秘密 通信 的 可 否认 性 可 以 归结 为 AKE 协议 的 可 否认 性 。 

尽管 文献 [8] 提 出 的 可 否认 的 AKE 协议 的 思想 具有 重要 的 使 用 价值 ,但 还 存在 一 些 缺 
陷 ,主要 是 没有 考虑 平衡 通信 公平 性 和 保护 个 人 隐私 之 间 的 矛盾 。 无 妨 仍然 继续 考虑 前 面 
提 到 的 例子 : 在 客户 C 和 服务 器 S 会 话 结束 之 后 ,有 可 能 一 段 时 间 之 后 C 与 服务 商 ( 服 务 器 
S) 产 生 有 关 S 是 否 曾经 提供 网 络 服务 的 纠纷 ,这 时 C 需要 能 够 向 第 三 方 (如 法 官 ) 证 明 某 时 
某 刻 的 确 在 C 和 S 之 间 发 生 过 上 述 秘密 会 话 , 则 称 为 协议 的 公平 性 ,并 把 这 样 的 AKE 协议 
称 为 “公平 认证 密 钥 交换 (FAKE) 协 议 ”。 

就 FAKE 协议 而 言 ,只 有 客户 C 能够 提出 协议 会 话 发 生 的 “证 明 ”, 因 此 客户 具有 绝对 
意义 下 的 “否认 ”权利 ,服务 商 只 具有 “部 分 否认 ”权利 ,这 主要 是 出 于 侧重 保护 客户 隐私 的 需 
要 。 公 平 交换 问题 一 直 是 信息 安全 研究 领域 中 的 一 个 重要 的 基础 问题 ,也 有 着 非常 现实 的 
应 用 需求 ,如 在 各 方 互 不 信任 的 环境 中 进行 数据 交换 。 而 我 们 提出 的 公平 认证 密 钥 交换 思 
想 与 一 般 的 公平 交换 问题 的 不 同 之 处 在 于 : 着 重 强调 保护 个 人 隐私 (可 否认 性 ) 和 客户 权利 
(必要 时 举证 ) ,这 在 网 上 交易 这 类 应 用 中 有 重要 的 应 用 价值 。 从 前 面 的 例子 可 以 看 出 ,文献 
[8] 提 出 的 “可 否认 的 AKE 协议 ”在 保护 客户 权利 方面 有 明显 缺陷 : 发 生 纠纷 时 任何 一 方 也 
无 法 提供 数据 交换 通信 的 证 明 。 最 为 “公平 的 认证 密 钥 交换 协议 是 : 利用 一 个 可 信 或 半 可 


E 
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信和 的 (semi-trusted) 第 三 方 ( 裁 决 方 ) 来 处 理 客户 C 和 服务 商 S 之 间 的 纠纷 。 这 种 技术 路 
线 原 则 上 是 可 行 的 ,但 引入 第 三 方 工 的 做 法 很 可 能 会 破坏 C 的 隐私 ,毕竟 工 不 同 于 一 般 的 
密 钥 证 书 认证 机 构 , 适 当 可 信 的 并 不 容易 得 到 ,也 增加 了 实现 代价 。 另 外 ,在 实际 应 用 
中 ,完全 意义 上 的 公平 交换 往往 并 不 必要 ""]。 

至 此 ,可 以 提出 关于 FAKE 协议 的 基本 应 用 轮廓 : 立足 实际 应 用 ,不 采用 任何 可 信 第 
三 方 (当然 公 钥 证 书 认 证 机 构 往往 还 是 需要 的 ); 客 户 C 发 起 和 服务 器 (服务 商 )S 的 FAKE 
协议 ,然后 C 利用 作为 协议 结果 的 会 话 密 钥 K 从 S 那里 获得 进一步 的 服务 。 这 里 除了 要 确 
保 FAKE 满足 一 般 意 义 上 的 密 钥 交 换 协 议 的 安全 性 "之 外 ,还 要 确保 : C 具有 完全 意义 上 
的 可 否认 性 ,S 满足 部 分 可 否认 性 , 即 在 C 不 揭示 秘密 证 据 的 条 件 下 ,C 和 S 各 自 均 可 以 伪 
造 (在 第 三 方 看 来 ) 合 法 的 会 话 ;必要 时 C 可 以 向 第 三 方 提供 协议 会 话 曾 经 发 生 的 数字 证 
明 ,一 旦 该 证 明 得 以 揭示 ,通信 双方 的 身份 均 与 协议 记录 得 以 绑 定 ,因此 合法 通信 双方 均 不 
再 具有 伪造 协议 会 话 的 能 力 (公平 性 ) ,当然 就 更 不 能 伪造 或 否认 基于 会 话 密 钥 的 进一步 的 
秘密 通信 。 

应 该 指出 ,FAKE 协议 中 的 公平 性 是 “相对 ”的 ,发 起 方 (客户 C) 由 于 控制 了 证 据 , 因 此 
事实 上 具有 额外 的 权力 : C 可 以 自主 决定 何 时 、 向 谁 释放 证 据 。 这 与 求助 于 第 三 方 的 公平 
协议 是 有 区 别 的 。 但 在 现实 世界 中 存在 很 多 技术 或 非 技术 方法 确保 C 不 会 滥用 这 种 权力 ; 
就 实际 应 用 而 言 ,往往 纠纷 是 关于 某 时 某 刻 客户 是 否 从 服务 商 那里 获得 了 某 具 体 服 务 ,作为 
弱势 方 的 C 为 了 保护 自己 的 合法 权利 ,当然 会 出 示 * 证 据 "。 因 此 FAKE 协议 是 解决 平衡 保 
护 客户 隐私 和 确保 各 方 合法 权利 之 间 了 矛盾 的 一 种 可 行 的 技术 解决 方案 。 


12.6.2 FAKE 协议 的 安全 模型 


FAKE 协议 是 在 互 不 信任 环境 中 执行 的 特殊 类 型 的 AKE 协议 ,其 安全 性 内 涵 主 要 包 
含 3 层 含义 : 作为 一 般 AKE 协议 的 安全 性 , 即 mBJM-AK 安全 性 (主要 是 会 话 密 钥 的 机 密 
性 和 可 认证 性 ); 可 否认 性 ;公平 性 。 下 面 分 别 阐述 这 些 概 念 。 


l. mBJM 模型 和 模块 化 证 明 技术 

有 关 AKE 协议 形式 化 安全 模型 的 相关 研究 结果 有 很 多 ,这 方面 最 为 系统 的 研究 结果 
可 参见 文献 [12] 一 [14] ,基本 安全 目标 是 确保 会 话 密 钥 的 机 密 性 和 可 认证 性 。 最 早 由 文献 
[12] 提 出 的 AKE 协 议 形式 化 安全 模型 是 一 种 现实 模型 , 即 协议 只 定义 在 现实 世界 中 ,而 安 
全 性 是 通过 会 话 密 钥 与 随机 数 的 计算 不 可 区 分 性 来 定义 的 ,定义 了 敌手 拥有 的 5 种 Oracle 
来 形式 化 敌手 可 能 发 动 的 各 种 攻击 。 文 献 [13] 则 进一步 建议 在 设计 复杂 协议 时 采用 简单 、 
富有 吸引 力 的 模块 化 设计 原则 ,一 般 称 为 BCK 安全 模型 。 其 基本 思想 是 : 基于 模块 化 观 
点 ,首先 把 AKE 协 议定 义 在 理想 模型 中 , 由 于 理想 模型 相对 简单 (敌手 是 被 动 的 ) 易 于 证 明 
安全 性 ,最 后 通过 特定 的 “认证 器 ”把 协议 “编译 ”成 现实 模型 中 的 协议 。 文 献 [14] 则 在 文献 
[12]、[13] 的 基础 上 ,结合 使 用 两 种 方法 论 ,提出 了 适用 于 PKI 环境 中 的 mBJM 安全 模型 ; 
并 针对 协议 结束 时 需要 Hash 函数 处 理 才 输出 会 话 密 钥 的 AKE 协议 (Hash 处 理 方式 事实 
上 已 经 在 密 钥 交换 协议 设计 中 被 广泛 接受 ,如 各 类 密 钥 导 出 函数 ) ,借助 Gap 假设 ,给 出 了 
较 文献 [13] 更 具有 灵活 性 的 模块 化 证 明 思 想 。 

下 面 首先 简单 描述 一 下 mBJM 模型 。 该 模型 包括 的 每 个 用 户 U 具有 对 应 的 公 、 私 钥 
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(PKu SK) ,通常 使 用 Oracle Ti 形式 化 表示 用 户 U 的 第 i 个 通信 实例 ( 即 形式 化 表示 U 
的 第 i 次 运行 协议 ) ,这些 Oracle 对 各 类 输入 的 消息 (询问 ) 依 据 协 议 规则 给 出 相应 的 输出 
CZ). FEA IT 6 只 可 能 处 于 3 种 状态 之 一 : 未 决 状态 接受 状态 ,拒绝 状态 。 一 旦 处 于 接 
受 状态 ,Tt 应 该 具有 : 角色 role; € (REH ,应 答 方 }; 对 应 伙伴 (Partner) 的 ID, 记 为 pidv 
( 即 意 定 的 通信 方 ) ;会 话 ID sidi 及 会 话 密 钥 skt 。 

敌手 了 被 形式 化 为 一 个 概率 多 项 式 时 间 (PPT) 算 法 ,下 完全 控制 信道 ,并 通过 提出 以 上 
Oracle 询问 的 方法 与 各 种 Oracle 交互 。 

下 面 通过 一 个 在 挑战 者 C" MAF E ZEH game 来 形式 化 定义 mBJM-AK 的 安全 性 。 

Game 12. 1 

(1) C ' 运 行 密 钥 和 参数 生成 算法 为 用 户 分 配 参数 和 公 、 私 钥 (E 不 知道 私 钥 ) 。 

(2) 下 可 以 提出 多 项 式 数 量 级 的 Oracle 询问 ,由 C' 给 出 回答 。EE 可 以 提出 以 下 询问 : 

QD Send iM): E f] IL o 发 送 消息 M,C' 根 据 协 议 给 出 模拟 回答 。 

@ RevealüT i) : E BRAG I1 v 持 有 的 会 话 密 钥 sky. 

(3 Corrupt(U) : E 要 求 获得 U 的 私 钥 。 

如 果 正 曾经 提出 过 Reveal 询问 , 称 下 已 经 揭示 了 Oracle Tu; MR E VAR Hi 
Corrupt 询问 , 称 下 已 经 收买 了 相应 的 用 户 ;如 果 IL 的 伙伴 没有 被 揭示 且 pidi 没有 被 收 
买 , 称 该 Oracle 是 新 鲜 的 (Fresh) 。 

G) TestUI i> ): 在 某 一 时 刻 ,EE 可 以 对 某 新 鲜 OracleI 5* 提出 Test 询问 ,C' 随 机 选择 
比特 6。 如 果 5 为 1,C' 输 出 skb* ,否则 输出 随机 数 。 此 后 三 可 以 继续 提出 前 面 的 Oracle 询 
问 , 但 禁止 揭示 I u 及 其 伙伴 Oracle, 也 不 能 收买 pidu* 。 

(3) 敌手 EE 输出 对 比特 6b 的 猜测 值 (0 或 1)。 

如 果 王 对 比特 2 的 猜测 正确 ,就 称 敌 手 赢得 了 mBJM game, 

如 果 协 议 满足 强 相伴 性 , 且 任 何 PPT 敌手 赢得 mBJM game 的 概率 优势 是 可 忽略 的 ， 
就 称 AKE 协议 满足 mBJM-AK 安全 性 。 这 里 AKE 协议 的 强 相伴 性 是 指 : 对 于 任何 两 个 
非 意 定 的 通信 方 而 言 ,任何 PPT 敌手 不 可 能 以 不 可 忽略 概率 使 得 二 者 均 处 于 接受 状态 ,并 
持 有 相同 的 会 话 密 钥 AX mBJM 模型 的 细节 可 参见 文献 [14] 。 

文献 [14] 提 出 的 AKE 协议 模块 化 证 明 技术 适用 于 上 述 的 mBJM 模型 。 基 本 思路 是 : 
首先 证 明 AKE 协议 满足 所 谓 的 强 相伴 性 (Strong Partnering) ,然后 证 明 与 该 协议 相关 的 某 
协议 在 “高 度 约 化 ”模型 中 是 安全 的 ,最 后 利用 “Gap 假设 ”把 约 化 模型 中 的 “相关 协议 ”的 安 
全 性 证 明 “ 转 化 成 "一般 模型 中 AKE 协议 的 安全 性 证 明 。 对 于 如 上 的 AKE 协议 而 言 ,这 里 
所 谓 的 “相关 协议 ”是 指 ,最 终 的 会 话 密 钥 是 某 数字 串 ( 即 Hash 函数 的 输入 ) 。 

2. 条 件 可 否认 性 

FAKE 协议 作为 一 种 特殊 类 型 的 AKE 协议 ,与 普通 AKE 协议 的 区 别 在 于 : 

(1) FAKE 协议 规定 客户 C 为 协议 发 起 方 (请 求 服务 商 S 提供 服务 ),S 作为 协议 应 
答 方 。 

(2) C fll S 共享 一 个 由 C 产生 的 公共 随机 承诺 h, 当 考 虑 mBJM-AK 安全 性 和 可 否认 
TERT h 视 为 协议 的 公共 随机 输入 ,h 由 带 有 秘密 输入 上 的 算法 KC j^ ^E BA— KCommitC k) , 
k Hp C 秘密 产生 , 称 为 会 话 证 据 。 
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(3) 可 和 否认 性 ,在 会 话 证 据 不 被 揭示 的 前 提 条 件 下 ,协议 满足 可 否认 性 。 

(4) 公平 性 ,一 旦 会 话 证 据 被 C 揭 示 , 则 协议 双方 都 不 能 否认 曾经 运行 过 协议 。 

采用 可 证 明 安全 性 理论 中 常用 的 模拟 论断 来 定义 可 否认 性 ,为 了 与 一 般 的 可 否认 性 定 
义 加 以 区 分 , 称 为 条 件 可 否认 性 。 

定义 12.1( 条 件 可 否认 性 ) 称 公 平 认证 密 钥 交换 协议 FAKE 是 条 件 可 否认 的 ,如 果 满 
Æ: 对 任何 PPT 敌手 A, 在 会 话 证 据 k 保密 的 条 件 下 ,存在 一 个 模拟 算法 SIMA ,其 输入 与 
人 A 完全 一 样 ,输出 的 模拟 观察 (Simulated View) 和 敌手 从 协议 执行 得 到 的 真实 观察 是 计算 
不 可 区 分 的 。 

除了 承诺 秘密 输入 保密 的 条 件 , 基 本 思想 和 文献 [13] 是 一 致 的 。 上 述 敌 手 不 同 于 传统 
上 考虑 的 外 部 敌手 ,注意 定义 12. 1 的 主要 目的 是 防止 敌手 (可 能 是 外 部 敌手 ,也 可 能 就 是 协 
议 的 某 一 方 ,如 服务 器 S) 试 图 向 第 三 方 证 明 曾 经 发 生 会 话 , 因 此 敌手 的 观察 包括 内 部 掷 币 
状态 、 完 整 的 交互 记录 ,特别 还 有 A 通过 执行 协议 得 到 的 会 话 密 钥 K( 如 果 会 话 没 结束 ,会 
话 密 钥 标记 为 错误 ,不 失 一 般 性 ,不 考虑 这 种 情况 )。 注 意 必须 考虑 到 对 输出 会 话 密 钥 的 模 
拟 , 即 不 仅 密 钥 交互 会 话 过程 本 身 是 可 模拟 的 ,而 且 会 话 密 钥 取 值 本 身 也 应 该 是 模拟 输出 的 
一 部 分 ,只 有 这 样 才能 避免 攻击 者 特别 是 内 部 敌手 具有 证 明 某 网 络 服务 是 否 曾 经 发 生 的 能 
力 ,因为 会 话 过 程 和 输出 会 话 密 钥 的 可 模拟 性 将 使 得 敌手 的 “证 据 ” 变 得 毫 无 意义 。 这 是 与 
当前 许多 可 否认 认证 协议 的 主要 区 别 之 一 ,通常 也 是 安全 性 证 明 的 难点 所 在 。 

仍然 可 通过 一 个 在 挑战 者 C' 和 敌手 EE 之 间 的 “game” 来 形式 化 定义 条 件 可 否认 性 。 

Game 12.2 

CD) C' 运 行 密 钥 和 参数 生成 算法 为 用 户 分 配 参 数 和 公 、 私 钥 (E 不 知道 私 钥 ) 。 

(2) 类 似 于 Gamel ,可 以 提出 Oracle 询问 Send I i; «MD , Reveal UI 5) .Corrupt(U) .. 

(3) C 随机 选择 某 用 户 IL o> 作为 模拟 对 象 : 但 不 允许 敌手 EE 同时 对 U^ 及 其 对 应 伙伴 
pidu 提出 Corrupt 询问 ,但 允许 询问 其 中 之 一 ,如 果 询 问 ,由 C' 向 EE 提供 对 应 的 私 钥 , 作 为 
王 的 输入 之 一 。 

(4) C 构造 一 个 模拟 器 SIM ,其 输入 与 下 完全 一 致 。 最 后 C 运行 SIM 算法 ,输出 会 话 
记录 和 对 最 终 会 话 密 钥 skue 的 模拟 值 。 

显然 定义 12. 1 是 说 ,如 果 任 何 PPT 敌手 能 够 在 多 项 式 时 间 内 区 分 如 上 的 模拟 观察 和 
实际 观察 ,那么 就 称 下 赢得 gamel2.2。 否 则 就 称 协议 满足 条 件 可 否认 性 。 

3. 公平 性 

直观 上 来 看 ,一 个 “公平 的 认证 密 钥 交 换 协议 至 少 应 该 满足 : 只 有 产生 会 话 证 据 的 一 
Jr C P C) 才 可 能 揭示 会 话 证 据 ; 在 揭示 会 话 证 据 的 条 件 下 ,各 方 均 不 再 满足 可 否认 性 ,这 
时 会 话 记 录 已 经 与 各 方 身份 “ 绑 定 ”。 

为 了 给 出 公平 性 的 形式 化 定义 , 先 考虑 敌手 A 和 挑战 者 C 之 间 的 以 下 “game”。 

Game 12.3 

OD 初始 化 。 主 要 是 挑战 者 C' 运行 密 钥 和 参数 生成 算法 ,为 用 户 分 配 公 、 私 钥 和 相应 


参数 。 
(2) Oracle 询问 。A 可 以 向 挑战 方 做 以 下 询问 : 
(D SendUI 6 MD: A 向 oracle Ti RW M, 后 者 根据 协议 给 出 回答 。 
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@ Revel i) : A 请 求 揭示 ILC REG BI SESH. 

@ Corrupt(U): A 请 求 揭示 U 的 私 钥 。 

@ KCommit 询问 : A 请 求 客户 C 随机 选择 大 ,输出 值 h— KCommitC k); WR A 愿意 ， 
A 也 可 以 自己 随机 选择 大 ,计算 h=KCommit(k). 

© KReveal 询问 : A 请 求 客户 C 揭示 以 前 的 KCommit 询问 中 的 会 话 证 据 k 

(3) 输出 。 最 后 敌手 A 输出 涉及 用 户 Xe Xa 的 协议 记录 (k,h,T) ,这 里 k 是 会 话 证 
据 ,h 二 KCommit(k) 是 公共 随机 承诺 ,T 是 完整 的 协议 记录 (协议 双方 的 收 、 发 消息 )。 如 果 
HP X.X 至 多 有 一 个 曾经 被 提出 过 Corrupt 询问 , 且 以 下 2 种 情况 之 一 发 生 , 称 A 赢得 
该 game: 

Qh 是 以 前 的 某 KCommit 询问 的 输出 ,但 从 没有 过 对 应 的 KReveal 询问 。 

Q A 同时 还 输出 (h,T'), 这 里 新 的 协议 记录 T TT T JV SEIS RY, 

定义 12. 2( 公 平 性 ) Pk FAKE 协议 是 公平 的 ,如 果 任 何 PPT 敌手 赢得 以 上 game 的 概 
率 都 是 可 忽略 的 。 

以 上 定义 是 对 “公平 性 ”直观 理解 的 形式 化 归纳 和 抽象 。 首先, 协议 对 客户 C 是 “公平 ” 
的 ,因为 上 述 game 输出 的 情况 (1) 确 保 只 有 产生 会 话 证 据 的 实体 (客户 C) 才 可 能 揭示 它 ,这 
样 使 得 C 产生 的 协议 记录 与 自己 的 身份 得 以 绑 定 。 另 一 方面 ,情况 (2) 则 保证 了 : 任何 一 方 
(即使 是 “合法 ”通信 方 之 一 ) 都 不 能 基于 相同 的 会 话 证 据 再 产生 一 份 新 的 合法 协议 记录 ( 即 
不 再 具有 否认 性 ) ,即使 是 产生 会 话 证 据 的 客户 C 本 身 (当然 应 答 方 S 就 更 是 如 此 )。 

应 该 特别 指出 的 是 ,定义 12. 2 的 情形 (2) 与 文献 [11] 中 给 出 的 并 发 签名 的 公平 性 定义 
是 完全 不 同 的 。 首 先 , 文 献 [11] 中 的 公平 性 定义 只 针对 数字 签名 ,而 定义 12. 2 是 针对 AKE 
协议 ;另外 ,文献 [11] 中 有 关 并 发 签名 的 公平 性 定义 也 存在 一 定 问 题 , 它 事实 上 只 能 确保 
Keystone (相当 于 本 文 所 称 的 会 话 证 据 ) 是 由 产生 它 的 一 方 揭示 ,容易 验证 文献 [11] 中 有 关 
公平 性 game 输出 的 情形 (2) (主要 是 有 关 针 对 收 方 的 公平 性 情形 ) 赛 括 的 情况 集合 必然 是 
空 集 ,因此 导致 文献 [11] 中 的 公平 性 定义 的 情形 (2) 没 有 说 明 任 何 问 题 。 


12.6.3 一 个 具体 的 FAKE 协议 


本 小 节 利 用 8. 12 节 介 绍 的 “并 发 签名 ”机 制 " 设计 了 一 个 可 证 明 安全 的 FAKE 协议 
实例 。 

参数 设置 : 公开 大 素数 p 和 g ,满足 g|(p 一 1),g J& Z, 的 一 个 g NERT G=<g>C 
Z; ,Hash 函数 H (0,1) * —(0,1)/,2 是 安全 参数 。 客 户 C 的 密 钥 对 为 (zc Er Z; ,Xc 一 ge 
mod p) ,服务 器 S 的 密 钥 对 为 (zs € & Z; ,Xs 二 g's mod p). 

FAKE 协议 执行 过 程 如 下 : 

CD 发 起 方 C( 客 户 ) 初 始 化 某 会 话 进程 了 2, 取 定 对 应 伙伴 (服务 器 S) 的 ID, iW pide = 
S, 随 机 选取 临时 参数 cE r Z,, C 发 送 消息 Tc 一 & mod p 给 收 方 S。 

(2) 接 到 消息 后 ,应 答 方 S 同样 初始 化 某 会 话 进程 工 4, 类 似 地 , 取 定 pi 和 一 C; 然 后 随机 
选取 临时 参数 bE rZ ,发 送 消息 Ts=g* mod p HC. 

G) C 随机 选取 临时 参数 k Ce Z, T Eh KCommitC k), Bl à — Hi CO ,计算 并 发 送 
5c — CSig., a, (Te | Ts) — Ges heh) $A S, 这 里 CSig n (Tce,Ts) 表 示 以 为 输入 ,对 消息 
(Tc,Ts) 的 并 发 签名 。 
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(4) 应 答 方 S 执 行 NT Verify 算法 ,验证 并 发 签名 oc 的 合法 性 ,如 果 合 法 ,设置 本 次 会 
话 的 ID sid 一 Xec,Xs,Tc,Ts, 同 样 以 询问 值 刀 为 输入 ,计算 对 消息 (Ts ,Tec) 的 并 发 签名 
os=(ssshs sh) ,并 发 送 该 签名 给 C。 

FAKE 协议 输出 : 

D XP C. 验证 收 到 并 发 签名 os 的 第 3 个 签名 分 量 是 否 是 h 二 HI(k) ,如果 是 ,执行 
NTVerify 算法 ,验证 os 的 合法 性 ,如 果 合法 ,设置 本 次 会 话 的 ID side 一 Xc,Xs,Tc,Ts, 计 
算 会 话 密 钥 Kc 一 互 (Tse || Xs | sido. 

(2) 服务 器 S: 计算 会 话 密 钥 Ks— HOXC || Te || sid). 

如 果 双 方 都 处 于 接受 状态 , 则 客户 C 通过 会 话 密 钥 Kc 要 求 服务 器 S 提供 特定 服务 ,而 
服务 器 S 则 使 用 会 话 密 钥 Ks 来 为 客户 提供 服务 。 


12.6.4 FAKE 协议 的 安全 性 证 明 


首先 FAKE 协议 满足 正确 性 ,因为 如 果 不 存在 外 来 干扰 , 易 见 

Kc = H(TS || Xs || sid) = HC" || g*s || sid) = Hg" || gs || sidi) = Ks 

正如 文献 [11] 中 所 指出 的 那样 ,为 了 使 协议 在 mBJM 模型 中 满足 强 相伴 性 ,只 需 保证 : 
每 一 会 话 的 ID 都 是 唯一 的 , 且 除 了 可 忽略 概率 外 , 仅 当 rolet 天 rolet «sid; = sidty ,pidt = 
U' ,pidiy =U 同时 成 立 , 才 满足 skoskir. MUAR. FAKE 的 会 话 密 钥 是 经 Hash 处 理 得 
到 的 ,而 Hash 函数 的 输入 字符 串 包含 了 sid .U、U"' 、pidi 等 必要 的 伙伴 信息 ,特别 是 注意 到 
随机 选取 的 Tc 和 Ts 均 包 含 在 会 话 IDsidb 当中 ,因此 易于 在 ROM 中 证 明 FAKE 协议 满足 
强 相伴 性 。 

FAKE 协议 实际 上 是 对 文献 [11] 中 的 AKE 协议 的 修改 : 主要 加 入 了 生成 并 发 签名 的 
步骤 ,但 在 考虑 mBJM-AK 安全 性 时 ,CSig 可 以 视 为 普通 的 数字 签名 ,由 于 这 是 一 个 可 证 明 
安全 的 签名 算法 ,因此 协议 的 安全 性 证 明和 文献 [11] 中 的 相关 证 明 没 有 本 质 差别 ,可 直接 套 
用 文献 L11] 中 提出 的 模块 化 证 明 技 术 , 限 于 篇 幅 , 这 里 不 再 袭 述 。 

还 应 指出 的 是 ,应 用 文献 L11] 中 的 模块 化 证 明 技术 时 ,必须 应 用 由 文献 L15] 中 提出 的 
Gap 假设 (下 面 给 出 的 GDH 问题 是 Gap 假设 的 一 个 实例 )。 通 俗 地 讲 ,Gap 问题 就 是 这 样 
一 种 问题 ,在 决策 Oracle( 如 下 文 的 DDH Oracle) 的 帮助 下 ,解决 某 计算 问题 (如 CDH [n] 
题 )。 目 前 Gap 问题 已 经 在 可 证 明 安 全 领域 获得 了 很 多 成 功 应 用 ,也 被 同行 广泛 接受 。 这 
里 ,FAKE 协议 的 安全 性 证 明 主 要 基于 以 下 问题 。 

(D CDH 问题 : 已 知 g*,g*EG(a,bERZ,) ,求解 g =g” mod p. 

(2) DDH 问题 : 已 知 g* «g^ g^ EGC, bErZ,) ,判别 c— ab 是 否 成 立 。 

(3) GDH 问题 : BA g'g € GCa. b€ RZ,) ,同时 已 知 一 个 可 以 解决 DDH 问题 的 
Oracle, Rf g*— g^" mod p, 

如 果 求 解 以 上 问题 的 任何 PPT 算法 的 成 功 概率 是 可 忽略 的 ,就 称 求解 以 上 问题 是 困 
难 的 。 

定理 12.1 在 GDH 问题 难 解 的 意义 下 ,FAKE 协议 是 mBJM-AK 安全 的 。 

限于 篇 幅 , 不 再 给 出 证 明细 节 , 基 本 方法 与 文献 [11] 中 的 方法 是 一 致 的 。 

定理 12.2 如 果 求 解 GDH 问题 是 困难 的 , 则 FAKE 协议 满足 条 件 可 否认 性 。 
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证 明 为 了 证 明 FAKE 协议 针对 某 恶意 通信 方 的 否认 性 ,只 需 构 造 一 个 模拟 器 SIM 
与 该 恶意 通信 方 模拟 交互 ,使 得 模拟 协议 记录 与 该 恶意 方 和 真实 方 执行 协议 得 到 的 协议 记 
录 是 计算 不 可 区 分 的 。 不 失 一 般 性 ,假设 我 们 是 模拟 客户 C( 反 过 来 也 一 样 ) 与 敌手 A 交 
互 , 根 据 形式 化 安全 模型 规划 ,SIM 的 输入 与 敌手 完全 一 致 ,包括 敌手 运行 密 钥 生成 算法 得 
到 的 收 方 S 的 公私 钥 对 (xs Er Zi » Xs— 5 mod p), 但 C 的 私 钥 则 是 未 知 的 。 

首先 ,协议 的 步骤 (1)、(2) 与 实际 协议 完全 一 样 , 即 SIM 初始 化 某 会 话 进程 卫 :, 取 定 
pide =S, PAHLE cERZ。, 发 送 消息 Te 给 收 方 S, 并 接收 来 自 S 的 消息 Ts。 至 此 敌手 得 到 
的 对 协议 的 模拟 观察 (View) 和 实际 观察 的 分 布 显然 是 完全 一 致 的 。 

由 于 并 发 签名 CSig 满足 非 传递 性 , 即 以 (Xec,Xs 一 ss mod prrs: Tc T0 2988 A T£ 
在 一 个 PPT 算法 FakeNTsign, 输 出 一 个 合法 签名 (能 够 通过 NT Verify 算法 验证 ) ,该 签名 
是 与 实际 签名 计算 不 可 区 分 的 。SIM 运行 上 述 算法 : 随机 选择 the € Z, T E z = e XU 
mod p.h — H;CX. || Xa || Tc || Ts || z) «A — (hho) mod gs 一 上 一 zsh mod g, 输 出 签名 
ac — Gc ,hs 有 hh), 易于 验证 该 签名 可 以 通过 NTVerify 算法 验证 ,并 且 和 客户 C 的 实际 签名 
是 计算 不 可 区 分 的 。 发 送 该 签名 给 S。 

如 果 接 收 到 签名 os — CSig., 4 CTs Tc) = Gs hs +h) ,SIM RIE h=h! FEA MIL REM, 
是 否 合法 ,如 果 合法 ,设置 本 次 会 话 的 ID side — Xc« Xs Tc Ts. 

由 于 CSig 满足 非 传递 性 ,因此 敌手 得 到 的 模拟 观察 和 实际 观察 是 计算 不 可 区 分 的 。 下 
面 只 需 模 拟 协议 的 输出 即 会 话 密 钥 取 值 Kc = HT s || Xs || sidi) — HC" || gs || sidi) = 
H (gc || gs || sid) 一 Ks。 在 ROM( 随 机 预言 模型 ) 中 考虑 这 个 问题 , 即 H 是 随机 预言 。 
SIM Aj —3K 3E Lu — ((g^ ec. * «gs sid KO) (因为 已 知 S 的 私 钥 , 因 此 计算 as BA 
易 的 ) ,开始 为 空 。 协 议 执行 完毕 ,SIM 随机 选择 K € (0,1) Hit KK, 并 添 入 表 中 对 应 位 置 。 
如 果 敌 手 A 向 Oracle H 询问 ge || gs || sidi, SIM 首先 检查 会 话 IDsids 一 Xc,Xs,Tc,Ts 
是 否 出 现在 Ls 中 对 应 位 置 ,如 果 没 有 ,给 予 新 的 随机 回答 ,并 在 表 中 加 以 标记 。 如 果 出 现 
了 ,在 DDH Oracle 的 帮助 下 ,判断 第 一 个 询问 分 量 是 否 是 ge ,如 果 不 是 ,给 予 新 的 随机 回 
答 ,并 加 以 特别 标记 ;和 否则 ,把 表 中 对 应 位 置 的 * 替换 成 ge ,并 用 K 作为 回答 。 

综 上 所 述 ,SIM 向 接收 方 (敌手 A) 完 整 模拟 了 协议 发 起 方 C 的 行为 ,特别 是 根据 ROM 
方法 论 ,敌手 不 经 询问 随机 预言 即 输出 会 话 密 钥 的 概率 是 可 忽略 的 ,因此 敌手 得 到 的 模拟 观 
察 和 实际 观察 是 计算 不 可 区 分 的 。 

类 似 地 ,可 以 证 明 模 拟 接收 方 S 的 情况 。 

定理 12.3 FAKE 协议 满足 公平 性 。 

证 明 我 们 在 ROM 中 给 出 证 明 , 即 A, 、H;、H 都 是 随机 预言 。 假 设 协 议 不 满足 公平 
性 , 即 经 过 协议 模拟 的 观察 (包括 前 面 gamel2.2 中 各 类 Oracle 询问 ) ,存在 PPT 敌手 A 以 
不 可 忽略 的 概率 输出 某 会 话 证 据 , 即 Keystone k 以 及 完整 的 协议 记录 T. T 必然 包含 2 个 
通过 NTVerify 和 CSVerify 算法 验证 的 合法 并 发 签名 对 oc = Gc hc JO «as — Gs his oh) ,这 
里 h 二 Hi(k)。 首 先 考虑 公平 性 gamel2. 2 的 情形 (1) ,由 于 Hi 是 随机 预言 ,任何 敌手 在 没 
有 向 Ha 询问 过 上 的 情况 下 输出 满足 二 Hi(k) 的 上 的 概率 显然 是 可 忽略 的 。 因 此 ,唯一 
的 可 能 就 是 情形 (2) 以 可 观 概率 发 生 , 即 基于 同样 的 A 二 Hi(k) ,敌手 A 以 不 可 忽略 的 概率 
同时 还 输出 新 的 协议 记录 T ,这 意味 着 产生 了 新 的 合法 并 发 签名 ,这 显然 与 并 发 签名 的 不 
可 伪造 性 (定理 12. 1) 是 矛盾 的 ,因此 公平 性 gamel2.3 的 情形 (1)、(2) 的 发 生 概 率 均 是 可 忽 
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在 很 多 应 用 场景 (如 电子 交易 ,电子 选举 和 电子 支付 ) 中 ,通信 双方 的 利益 往往 不 一 致 。 
因此 ,在 设计 这 些 场景 中 所 应 用 的 安全 协议 时 必须 遵循 公平 性 原则 , 即 参与 协议 的 任何 一 方 
在 协议 执行 的 任何 阶段 都 不 能 处 于 一 种 相对 有 利 的 地 位 ,应 保证 交易 双方 都 不 能 通过 损害 
对 方 利益 而 得 到 它 不 应 得 的 利益 。 本 章 重点 介绍 了 一 些 典 型 的 公平 交换 协议 。 

目前 像 网 上 购物 或 通过 登录 特定 网 站 获取 服务 代理 商 的 服务 这 样 的 网 上 交易 业务 日 益 
普遍 ,关于 服务 商 是 否 提供 过 某 特定 服务 这 样 的 纠纷 也 逐渐 增多 。 如 何平 衡 保 护 个 人 隐私 
和 确保 网 上 交易 公平 之 间 的 矛盾 已 经 成 为 一 个 不 容 忽 视 的 问题 。 我 们 也 用 很 大 篇 幅 介 绍 了 
文献 [7] 中 提出 的 解决 该 问题 的 思想 、 理 论 和 方案 。 另 外 ,我 们 在 这 一 领域 也 取得 了 一 些 其 
他 研究 成 果 , 感 兴趣 的 读者 可 参阅 文献 [16] 一 [21] 。 
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第 4 篇 应 用 安全 协议 


应 用 安全 协议 与 具体 应 用 有 关 ， 是 用 基础 安全 协议 或 密码 算法 结合 具体 实际 应 用 构 
建 的 安全 协议 ,有 时 也 称 安全 方案 。 本 篇 主要 介绍 Kerberos 协议 、X. 509 thik IPSec tp 
Yt, TLS/SSL 协议 、 入 侵 容 忍 CA 协议 、 基 于 身份 的 PKI 协 议和 可 信 计 算 平台 远程 证 明 协 
议 等 。 
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目前 常用 的 分 布 式 认证 协议 主要 有 两 类 : 一 类 是 基于 对 称 密码 算法 的 ,典型 代表 是 
Kerberos 协议 ; 另 一 类 是 基于 公 钥 密码 算法 的 ,典型 代表 是 X. 509 协议 。 关 于 这 两 个 协议 
中 的 密 钥 协商 协议 已 在 前 面 作 了 介绍 ,本 章 重 点 从 应 用 的 角度 介绍 这 两 个 典型 协议 。IPSec 
协议 和 TLS 协议 是 两 个 重要 的 网 络 安全 通信 协议 。IPSec 协议 建立 在 IP 层 , 它 引入 了 数据 
认证 机 制 .加 密 机 制 和 相关 的 密 钥 管理 ,实现 了 较为 全 面 的 网 络 层 安全 。SSL 协议 建立 在 
TCP 协议 栈 的 传输 层 , 用 于 保护 面向 连接 的 TCP 通信 。 


13.1 Kerberos 协议 


Kerberos 协议 是 麻 省 理工 学 院 (MIT) “雅典 娜 计划 ”(Project Athena) 的 一 部 分 , 它 是 
MIT 于 20 世纪 80 年 代 后 期 、90 年 代 初 期 开发 出 来 的 系列 基于 对 称 密码 算法 的 安全 协议 ， 
主要 应 用 于 无 安全 措施 的 工作 站 .中 等 安全 度 的 服务 器 以 及 高 强度 安全 的 密 钥 协商 分 布 式 
环境 中 。 对 于 运行 于 同一 机 器 A 的 两 个 应 用 X 和 YY 来 说 ,Y 仅仅 要 求 A 给 出 X 的 用 户 标 
识 符 (ID)。 因 为 Y 确信 本 地 机 器 是 安全 的 ,如 果 A 给 出 的 X 的 用 户 标 识 符 是 Y 所 期 望 的 ， 
则 X 一 定 是 X。 但 当 X 运行 于 不 同 的 机 器 B 中 时 ,应 用 YY 被 强迫 信任 B 能 提供 一 个 正确 
的 回答 。 遗 憾 的 是 ,在 网 络 上 要 Y 信任 B 是 很 困难 的 。 因 为 所 谓 网 络 “黑客 ”十 分 容易 假冒 
B, 产 生 假 的 应 答 消息 。Kerberos 协议 则 不 需要 这 种 信任 ,而 且 X 相信 通过 Kerberos 协议 
能 够 给 Y 足够 的 信息 来 认证 自己 ,Y 不 再 需要 信任 机 器 BUIE X. Eat, Kerberos 协议 
还 产生 应 用 于 X 和 YY 之 间 进 行 保密 通信 的 会 话 密 钥 ,可 进一步 增强 网 络 应 用 的 安全 性 。 


13.1.1 Kerberos 协议 结构 


Kerberos 协议 由 一 个 认证 服务 器 (AS) 和 若干 个 (一 个 或 多 个 ) 票 据 分 配 服 务 器 (TGS) 
组 成 ,其 基本 结构 如 图 13.1 所 示 。 
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图 13.1 Kerberos 协议 结构 


Kerberos 协议 提供 了 一 种 主体 验证 与 标识 的 方法 , 它 的 实现 不 依赖 于 主机 的 操作 系 
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统 , 不 依赖 于 主体 地 址 的 可 信 ,也 不 依赖 于 网 上 所 有 主机 的 物理 安全 。 它 所 基于 的 环境 假设 
是 : 网 上 的 通信 和 包 可 被 读 取 ,修改 及 任意 插入 。 

一 个 基本 的 Kerberos 协议 的 认证 过 程 如 下 。 

(1) 客户 请 求 认 证 服务 器 AS 发 给 接 人 票据 分 配 服务 器 TGS 的 票据 。 

(2) 认证 服务 器 AS 在 其 数据 库 中 查找 客户 实体 (注册 的 每 个 客户 实体 都 与 AS 共享 一 
个 秘密 密 钥 ) ,产生 一 个 会 话 密 钥 ,AS 使 用 客户 的 秘密 密 钥 对 此 会 话 密 钥 进行 加 密 ; 然 后 生 
成 一 个 TGT( 票 据 分 配 许可 证 ) ,此 许可 证 包括 客户 实体 名 、 地 址 、TGS 名 、 时 间 戳 .生存 期 、 
会 话 密 钥 等 信息 ;并 用 TGS 的 秘密 密 钥 对 TCT 进行 加 密 ;AS 把 这 两 个 加 密 结果 发 回 给 
客户 。 

(3). 客户 将 第 一 个 报 文 解密 得 到 会 话 密 钥 ,然后 生成 一 个 认证 单 , 包 括 客户 实体 名 、 地 
址 及 时 间 戳 ,并 用 会 话 密 钥 对 认证 单 进行 加 密 。 然 后 ,向 TGS 发 出 请 求 , 申 请 接 人 某 一 目标 
服务 器 的 票据 。 此 请 求 包括 目标 服务 器 名 称 、AS 发 来 的 加 过 密 的 TGT 及 加 密 的 认证 单 。 

(4) TGS 用 其 秘密 密 钥 对 TGT 进行 解密 ,使 用 TGT 中 的 会 话 密 钥 对 认证 单 进行 解 
密 。 然 后 将 认证 单 中 的 信息 与 TGT 中 的 信息 进行 比较 。 此 时 ,TGS 产生 新 的 会 话 密 钥 供 
客户 实体 与 目标 服务 器 使 用 ,利用 客户 实体 和 TGS 用 的 会 话 密 钥 对 新 的 会 话 密 钥 加 密 ; 将 
新 的 会 话 密 钥 加 入 客户 向 该 服务 器 提交 的 有 效 票 据 之 中 ,票据 中 还 包括 客户 实体 名 、 网 络 地 
址 ` 服 务 器 名 、 时 间 戳 .生存 期 等 ,并 用 目标 服务 器 的 秘密 密 钥 将 此 票据 加 密 ;最 后 将 这 两 个 
报 文 发 回 给 客户 。 

(5) 客户 将 接收 到 的 报 文 解密 后 ,获得 与 目标 服务 器 共用 的 会 话 密 钥 。 这 时 ,客户 制作 
一 个 新 的 认证 单 , 并 用 获得 的 会 话 密 钥 对 该 认证 单 进行 加 密 。 当 请 求 进入 访问 目标 服务 器 
时 ,将 加 密 的 认证 单 和 从 TGS 收 到 的 票据 一 并 发 送 给 目标 服务 器 。 由 于 此 认证 单 有 会 话 密 
钥 加 密 的 明文 信息 ,从 而 可 证 明 发 信人 知道 该 密 钥 。 

(6) 目标 服务 器 对 票据 和 认证 单 进 行 解密 检查 ,包括 地 址 ` 时 间 戳 .生存 期 等 。 如 果 一 
切 都 核对 无 误 ,服务 器 则 知道 了 客户 实体 的 身份 ,并 与 之 共享 一 个 可 用 于 它们 之 间 的 秘密 通 
信 的 加 密 密 钥 。 

在 Kerberos 协议 中 ,客户 向 认证 服务 器 AS 请 求证 书 有 两 种 基本 方法 。 第 一 种 方法 
是 ,客户 向 AS 发 送 为 某 一 特定 服务 器 请 求 票 据 的 一 个 明文 请 求 , 请 求 用 客户 的 密 钥 加 密 。 
通常 这 是 请 求 认证 服务 器 AS 授权 服务 器 TGS 使 用 的 TGT。 第 二 种 方法 是 ,客户 向 TGS 
发 送 一 个 请 求 ,客户 使 用 TGT 来 向 TGS 认证 其 身份 。 应 答 用 TGT 中 的 会 话 密 钥 加 密 。 
协议 中 将 AS 和 TGS 描述 为 不 同 的 服务 器 ,在 实际 执行 中 ,它们 是 一 个 Kerberos 服务 器 内 
不 同 的 协议 人 口 点 。 一 且 获 得 ,证 书 可 用 于 验证 传输 中 主体 的 标识 以 确保 主体 间 传 递 消息 
的 完整 性 ,或 消息 的 机 密 性 。 

为 验证 传输 中 主体 的 标识 ,客户 将 票据 发 送 给 应 用 服务 器 。 由 于 票据 是 明文 发 送 的 且 
有 可 能 为 攻击 者 所 截获 或 重用 ,因此 同时 发 送 一 些 附加 消息 用 于 证 明 此 消息 的 确 是 来 自 于 
发 布 票据 的 主体 。 这 些 消息 用 会 话 密 钥 加 密 , 并 包括 一 个 时 间 戳 。 时 间 惟 证 明了 此 消息 是 
最 近 生 成 的 且 不 能 被 重 放 。 加 密 则 证 明了 此 消息 是 由 一 个 拥有 会 话 密 钥 的 主体 生成 的 。 使 
用 会 话 密 钥 还 可 保证 主体 间 所 交换 的 消息 的 完整 性 。 此 方法 同时 还 可 提供 检测 重 放 攻 击 和 
消息 流 修改 攻击 。 具 体 做 法 是 生成 一 个 客户 消息 的 摘要 ,并 用 会 话 密 钥 加 密 之 后 发 送 。 
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13.1.2 票据 标志 使 用 与 请 求 


每 个 Kerberos 票据 包括 一 个 用 于 指示 其 性 质 的 标志 集 。 票 据 的 许多 标志 是 客户 所 需 
要 的 ,但 有 些 标志 是 由 所 要 求 的 Kerberos 服务 自动 开启 与 关闭 的 。 

CD 初始 、 预 认证 以 及 硬件 认证 票据 。INITIAL 标志 表示 一 个 票据 是 使 用 AS 协议 发 
布 的 ,而 不 是 基于 TGT 发 布 的 。 要 求 客户 密 钥 证 明知 识 的 应 用 服务 器 可 强调 在 它们 所 接 
收 的 任 一 个 票据 中 设置 此 标志 ,并 以 此 保证 客户 的 密 钥 是 最 近 分 配给 应 用 客户 的 。PRE- 
AUTHENT 和 HW-AUTHENT 标志 提供 了 关于 初始 认证 的 附加 信息 ,忽略 了 当前 票据 是 
直接 发 布 的 或 是 基于 TGT 发 布 的 。 

(2) 无 效 票 据 。INVALID 标志 表示 一 个 票据 是 无 效 的 。 应 用 服务 器 必须 拒绝 具有 此 
标志 的 票据 。 一 个 过 期 的 票据 常常 以 此 形式 出 现 。 无 效 票据 必须 是 密 钥 分 配 中 心 (KDC) 
以 前 有 效 使 用 过 的 ,VALIDATE 选项 说 明 可 在 TGS 的 请 求 中 提供 给 KDC。KDC 只 有 在 
票据 启用 后 才 视 其 为 有 效 。 

(3) 可 更 新 票据 。 应 用 将 倾向 于 持 有 可 长 期 有 效 的 票据 。 然 而 这 也 使 得 其 证 书 长 期 暴 
露 于 攻击 者 面前 ,而 被 窃 的 证 书 在 票据 有 效 期 之 前 都 将 是 有 效 的 。 仅 使 用 短期 票据 和 定期 
地 获得 新 的 票据 将 要 求 客户 具有 对 其 秘密 密 钥 的 长 期 访问 ,这 带 来 的 问题 将 更 加 严重 。 可 
更 新 票据 的 使 用 可 降低 票据 被 窃取 的 可 能 性 。 可 更 新 票据 具有 两 个 有 效 期 : 一 个 是 当前 的 
票据 期 满 时 间 ; 另 一 个 是 最 近期 满 时 间 的 允许 值 。 一 个 应 用 客户 必须 定期 向 KDC 提供 一 
个 可 更 新 票据 ,并 在 KDC 请 求 中 设置 RENEW 选项 。KDC 将 发 布 一 个 具有 一 个 新 的 会 话 
密 钥 和 一 个 更 迟 的 期 满 时 间 的 新 票据 。 票 据 的 其 他 域 在 更 新 过 程 中 没有 改动 。 当 最 近 可 允 
许 的 期 满 时 间 到 达 时 ,票据 将 永久 期 满 。 在 每 次 更 新 过 程 中 ,KDC 将 商议 一 个 主机 链 用 于 
确定 其 最 近 更 新 后 票据 是 否 被 窃取 过 ,KDC 将 拒绝 更 新 被 窃取 过 的 票据 ,因此 被 窃取 票据 
的 有 效 期 将 被 缩短 。 

(4) 迟 日 期 票据 。 有 时 应 用 会 申请 一 个 较 后 使 用 的 票据 , 迟 日 期 票据 提供 了 在 工作 提 
交 时 从 KDC 获得 此 票据 但 直到 KDC 的 一 个 未 来 请 求 激活 之 时 才 交 付 的 获取 票据 的 一 种 
方法 。 如 果 在 此 期 间 一 个 票据 被 窃取 过 ,那么 KDC 将 拒绝 使 此 票据 有 效 ,以 此 来 挫败 窃取 
行为 。POSTDATED 标志 表示 一 个 票据 是 迟 日 期 票据 。 应 用 服务 器 可 检查 票据 中 的 认证 
时 间 域 以 判断 原始 的 认证 是 何 时 发 生 的 。 有 些 服务 将 选择 拒绝 迟 日 期 票据 ,或 者 它们 只 在 
原始 认证 开始 后 某 一 时 间 内 接受 迟 日 期 票据 。 当 KDC Afi T POSTDATED 票据 , 它 也 将 
被 标记 为 INVALID, 因 此 应 用 客户 必须 向 KDC 提供 在 使 用 前 有 效 的 票据 。 

(5) 代理 票据 。 有 时 一 个 主体 必须 允许 一 个 服务 以 其 名 义 来 执行 一 个 操作 。 在 某 些 特 
定 目的 下 ,服务 必须 能 够 具有 客户 的 标识 ,这 可 通过 向 其 授权 一 个 代理 来 实现 。 用 代理 标志 
来 授权 一 个 代理 的 过 程 被 用 于 为 特定 服务 的 使 用 提供 证 书 。 票 据 中 的 PROXIABLE 标志 
通常 仅 由 票据 授权 的 服务 来 解释 。 它 可 为 应 用 服务 器 所 忽略 。 当 设置 此 标志 时 ,等 价 于 告 
诉 票据 授权 服务 可 以 发 布 一 个 基于 此 票据 的 具有 一 个 不 同 的 网 络 地 址 的 新 票据 。 此 标志 
许 一 个 客户 向 一 个 服务 器 传递 一 个 代理 以 其 名 义 来 执行 一 个 远程 请 求 。 为 了 使 被 窍 证 书 的 
使 用 更 为 复杂 ,Kerberos 票据 只 在 票据 中 说 明 的 网 络 地址 上 是 有 效 的 。 当 授权 一 个 代理 
时 ,客户 必须 说 明代 理 所 使 用 的 新 的 网 络 地 址 ,或 指明 发 布 代理 的 任 一 个 地 址 。 

(6) 匿名 票据 。 当 政策 允许 时 ,为 了 在 客户 和 服务 器 之 间 的 加 密 通信 中 使 服务 器 不 能 
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够 识别 出 客户 ,KDC 可 发 布 匿名 票据 。 匿 名 票据 使 用 KDC 配置 的 通用 主体 名 来 发 布 并 设 
置 ANONYMOUS 标志 。 一 个 服务 器 接收 此 票据 可 要 求 后 来 的 请 求 使 用 同样 的 票据 以 及 
使 用 原 发 自 同一 个 用 户 的 会 话 密 钥 。 如 果 一 个 客户 请 求 匿名 通信 ,那么 客户 应 当 检查 结果 
票据 的 确 是 匿名 的 。 

CD 转换 策略 检查 票据 。 在 Kerberos 协议 中 ,应 用 服务 器 对 接受 或 拒绝 认证 负 最 终 的 
责任 ,并 且 检 查 只 有 合适 的 可 信 KDC 才能 支持 一 个 主体 的 认证 。 票 据 中 的 转换 域 标识 在 
认证 过 程 中 涉及 哪 一 个 KDC, 那 么 一 个 应 用 服务 器 应 当 常规 检查 此 域 。 终 端 服务 器 最 终 决 
定 认证 是 否 是 有 效 的 ,其 有 效 性 是 通过 终端 服务 器 的 域 应 用 一 个 确认 转换 域 的 域 说 明 策略 ， 
并 接受 跨 域 认证 证 书 来 判断 的 。 当 KDC 应 用 此 检查 并 接受 此 跨 域 认证 时 , 它 将 在 其 基于 
跨 域 TGT 发 布 的 服务 票据 中 置 TRANSITED-POLICY-CHECKED 标志 。 


13.1.3 消息 交换 


1. 认证 服务 交换 
当 希 望 为 一 个 已 知 的 当前 未 持 有 证 书 的 服务 获取 认证 证 书 时 ,客户 要 发 起 一 个 客户 和 
Kerberos 认证 服务 器 (AS) 之 间 进 行 的 认证 服务 交换 (简称 AS 交换 )。 在 其 基本 模式 中 , 客 
户 的 秘密 密 钥 用 于 加 密 和 解密 。 此 交换 用 于 为 TGS 获得 证 书 的 登录 会 话 开始 之 时 ,所 获得 
的 证 书 将 用 于 随后 的 其 他 服务 的 证 书 的 获得 , 且 不 必要 求 更 多 地 使 用 客户 的 秘密 密 钥 。 

AS 交换 包括 两 个 消息 : 从 客户 到 Kerberos 的 KRB_AS_REQ, 以 及 作为 应 答 的 KRB_ 
AS REP 或 者 KRB_ERROR。 作 为 响应 ,客户 发 送 了 它 自己 的 标识 以 及 它 将 要 申请 的 证 书 
的 服务 器 的 名 字 。 响 应 KRB_AS_REP 包括 一 个 由 客户 提供 给 服务 器 的 票据 ,以 及 一 个 由 
客户 和 服务 器 共享 的 票据 。 会 话 密 钥 和 附加 的 信息 用 客户 的 秘密 密 钥 加 密 。KRB_AS_ 
REP 消息 包括 用 于 检测 响应 的 信息 ,并 将 之 与 它 答复 的 消息 相关 联 。 

在 没有 预 认证 的 情况 下 ,认证 服务 不 知道 客户 是 否 真正 是 请 求 中 命名 的 主体 , 它 仅 发 出 
一 个 回答 而 不 关乎 其 他 。 这 是 可 以 接收 的 ,因为 只 有 名 字 标 识 在 请 求 中 的 主体 能 够 使 用 答 
复 。 其 关键 信息 用 主体 的 密 钥 加 密 。 

(D KRB AS REQ 消息 的 生成 。 客 户 将 在 其 初始 请 求 中 说 明 一 系列 的 选项 ,包括 预 
认证 是 否 进行 ,请求 票据 是 否 更 新 和 代理 ,是 否 为 迟 日 期 票据 ,客户 是 否 请 求 一 个 匿名 票据 
等 。 客 户 准备 KRB_AS REQ 消息 并 发 送 给 KDC. 

(2) KRB_AS_REQ 消息 的 接收 。 如 果 一 切 运 行 正常 ,KRB_AS_REQ 消息 的 处 理 将 导 
致 客户 提供 给 服务 器 一 个 票据 的 生成 。 

(3) KRB_AS_REP 消息 的 生成 。 认 证 服务 器 在 其 数据 库 中 查找 KRB_AS_REQ 中 命 
名 的 客户 和 服务 器 ,分 别提 取 其 密 钥 。 如 果 请 求 客户 在 请 求 中 的 主体 命名 由 于 不 在 认证 服 
务 器 的 数据 库 中 而 不 可 知 ,那么 将 返回 一 个 出 错 信息 KDC_ERR_C_ PRINCIPAL _ 
UNKNOWN。 

(4) KRB ERROR 消息 的 生成 。 多 种 错误 有 可 能 发 生 ,AS 通过 返回 出 错 消息 KBB_ 
ERROR 给 客户 来 表示 不 同 的 错误 类 型 。 

(5) KRB AS REP 消息 的 接收 。 如 果 响 应 的 消息 类 型 是 KRB_AS_REP, 那 么 客户 将 
验证 应 答 的 明文 部 分 中 cname 和 crealm 域 与 其 请 求 是 否 是 匹配 的 。 客 户 用 其 密 钥 解密 应 
答 的 加 密 部 分 ,验证 加 密 部 分 的 随机 数 与 它 请 求 中 提供 的 随机 数 是 否 是 匹配 的 。 同 时 它 还 
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验证 响应 中 的 sname 和 srealm 与 请 求 中 的 相关 部 分 是 否 匹配 。 之 后 ,客户 存储 此 票据 、 会 
话 密 钥 .起 始 和 期 满 时 间 以 及 稍 后 用 到 的 信息 。 


2. 客户 /服务 器 认证 交换 

客户 /服务 器 (CS) 认 证 交换 用 于 网 络 应 用 对 客户 和 服务 器 之 间 的 相互 认证 。 客 户 必须 
使 用 AS 或 TGS 交换 已 为 服务 获得 的 证 书 。 

客户 /服务 器 认证 交换 包括 两 个 消息 , 即 KRB_AP_REQ 消息 和 KRB AP. REP 消息 。 
KRB_AP_REQ 消息 包括 一 个 认证 传递 的 第 一 个 消息 的 一 部 分 认证 消息 ,包括 一 个 票据 一 
个 鉴别 码 以 及 一 些 附加 的 短 记 信息 。 票 据 自 身 是 不 足以 认证 一 个 客户 的 ,这 是 因为 票据 在 
网 上 是 以 明文 方式 传播 的 ,因此 认证 通过 向 服务 器 证 明 客户 知道 票据 的 会 话 密 钥 来 阻止 票 
据 的 无 效 重 放 。 

(1) KRB_AP_REQ 消息 的 生成 。 当 一 个 客户 希望 发 起 对 一 个 服务 器 的 认证 时 , 它 为 
想得到 的 服务 获得 一 个 票据 和 会 话 密 钥 。 客 户 将 重用 它 所 持 有 的 有 效 期 内 的 票据 。 

(2) KRB AP. REQ 消息 的 接收 。 认 证 是 基于 服务 器 的 当前 时 间 、 鉴 别 码 和 票据 的 。 
有 发 生 多 种 错误 的 可 能 。 如 果 一 个 错误 发 生 了 ,服务 器 将 被 认为 回应 给 客户 一 个 KRB_ 
ERROR 消息 。 如 果 它 的 “raw” 形 式 不 为 协议 所 接受 , 则 此 消息 将 封装 在 应 用 协议 中 。KRB 
_ERROR 消息 的 格式 将 在 后 面 给 出 描述 。 验 证 认证 消息 的 算法 如 下 : 如 果 消 息 的 类 型 不 
是 KRB_AP_REQ, 服 务 器 将 返回 KRB_AP_ERR_MSG_TYPE 错误 ;如 果 KRB_AP_REQ 
中 的 票据 所 指示 的 密 钥 的 版 本 服务 器 不 能 使 用 ,将 返回 KRB_AP_ERR_BADKEYVER 错 
误 ; 如 果 设 置 了 USE SESSION KEY 标志 , 它 向 服务 器 指示 票据 是 使 用 服务 器 TGT 的 会 
话 密 钥 而 不 是 其 自己 的 会 话 密 钥 加 密 的 。 由 于 服务 器 可 能 在 多 个 域内 用 不 同 的 密 钥 注 册 ， 
KRB_AP_REQ 中 的 票据 的 未 加 密 部 分 的 srealm 域 用 于 说 明 服务 器 解密 票据 所 使 用 的 密 
钥 ; 如 果 服 务 器 没有 解密 的 正确 密 钥 ,将 返回 一 个 错误 代码 KRB_AP_ERR_NOKEY, 

(3) KRB_AP_REP 消息 的 生成 。 客 户 的 请 求 将 在 同一 个 消息 中 包括 认证 信息 和 它 的 
初始 请 求 ,而 且 服务 无 需 明 确 回应 KRB_AP_REQ。 然 而 ,如 果 执行 了 双向 认证 ,KRB_AP_ 
REQ 消息 将 在 其 ap-options 域 中 置 MUTUAL-REQUIRED, 而 且 KRB_AP_REP 消息 将 
作为 响应 。 

(4) KRB AP REP 消息 的 接收 。 如 果 收 到 一 个 KRB AP. REP 消息 ,客户 使 用 从 服务 
器 获得 的 证 书 中 得 到 的 会 话 密 钥 解密 消息 ,并 验证 时 间 戳 等 信息 与 它 发 给 服务 器 的 鉴别 码 
中 的 相关 域 是 否 匹 配 。 如 果 是 匹配 的 ,那么 客户 可 确信 服务 器 是 诚实 的 。 

在 KRB AP REQ/KRB AP REP 交换 发 生 之 后 ,客户 和 服务 器 共享 一 个 可 为 应 用 所 
用 的 加 密 密 钥 。 在 有 些 情况 下 ,此 会 话 密 钥 的 使 用 是 在 协议 中 隐 含 执行 的 。 一 个 应 用 为 随 
后 的 完整 性 和 机 密 性 保护 来 协商 一 个 使 用 的 密 钥 是 客户 在 鉴别 码 的 子 密 钥 域 中 所 建议 的 一 
个 密 钥 。 之 后 服务 器 将 使 用 建议 的 密 钥 选择 一 个 密 钥 ,并 在 应 用 应 答 的 子 密 钥 域 中 返回 一 
个 新 的 子 密 钥 。 此 密 钥 可 用 于 随后 的 通信 中 。 

3. TGS 交换 

客户 和 Kerberos 票据 授权 服务 器 TGS 间 的 TGS 交换 是 当 客户 希望 为 某 一 服务 申请 
认证 证 书 时 , 当 它 希望 更 新 或 使 一 个 已 有 的 票据 有 效 时 ,或 者 当 它 希 望 获得 一 个 代理 票据 时 
由 客户 发 起 的 。 在 第 一 种 情况 下 ,客户 必须 已 经 为 TGS 申请 了 一 个 票据 用 于 AS 交换 。 
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TGS 交换 的 消息 格式 与 AS 交换 的 消息 格式 是 类 似 的 ,主要 差别 在 于 TGS 交换 中 的 加 / 解 
密 不 使 用 客户 的 密 钥 ,而 是 使 用 来 自 票 据 授权 票据 (TGT) 或 可 更 新 票据 的 会 话 密 钥 ,或 者 
来 自 鉴别 码 的 子 会 话 密 钥 。 

TGS 交换 包括 两 个 消息 : 客户 向 Kerberos 票据 授权 服务 器 TGS 发 送 的 一 个 请 求 
KRB_TGS_REQ 和 一 个 对 此 消息 的 应 答 消息 KRB_TGS_REP 或 者 KRB_ERROR。KRB_ 
TGS_REQ 消息 包括 认证 客户 的 信息 和 一 个 证 书 请 求 。 认 证 信息 包括 认证 头 , 其 中 有 客户 
之 前 获得 的 票据 授权 、 可 更 新 的 票据 或 无 效 票据 。 在 TGT 和 代理 的 情况 下 ,请求 包括 网 络 
地 址 链 、 票 据 中 封装 的 类 型 授权 数据 集 或 者 附加 的 票据 。TGS 的 应 答 KRB_TGS_REP 包 
括 所 请 求 的 用 会 话 密 钥 加 密 的 证 书 。KRB_ERROR 消息 包括 一 个 错误 代码 和 一 个 说 明 错 
误 的 文本 。 此 消息 是 不 加 密 的 。 

(1) KRB TGS REQ 消息 的 生成 。 在 向 票据 授权 服务 器 TGS 发 送 一 个 请 求 之 前 , 客 
户 必 须 确定 应 用 服务 器 注册 的 域 。 当 客户 拥有 了 适当 域 的 TGT 后 , 它 将 确定 哪 一 个 
Kerberos 服务 器 服务 哪个 域 并 与 之 联系 。 同 AS 交换 一 样 ,客户 将 在 KRB_TGS_REQ 消 
息 中 说 明 一 个 选项 号 ,提供 一 个 鉴别 码头 作为 padata 域 的 一 个 元 素 , 包 括 在 KRB_AS_REQ 
消息 中 使 用 的 同样 的 域 及 一 些 选项 域 。 

(2) KRB TGS REQ 消息 的 接收 。KRB_TGS_REQ 消息 与 KRB AS REQ 消息 的 处 
理 过 程 是 类 似 的 ,但 仍 有 一 些 其 他 的 检查 需要 进行 。 首 先 ,Kerberos 服务 器 必须 确定 所 伴 
随 的 票据 所 属 的 服务 器 并 选择 一 个 适当 的 密 钥 解密 之 。 如 果 TGT 是 由 另 一 个 域 发 布 的 ， 
那么 必须 使 用 正确 的 域内 密 钥 。 如 果 伴 随 的 票据 不 是 当前 域 的 TGT, 而 是 当前 域 的 一 个 应 
用 服务 器 的 TGT,RENEW,WALIDATE 或 PROXY 选项 在 请 求 中 进行 了 说 明 ,并 且 票 据 
请 求 的 服务 器 是 名 字 在 伴随 票据 中 的 服务 器 ,那么 KDC 将 用 它 发 布 的 服务 器 的 密 钥 来 解 
密 认证 头 中 的 票据 。 之 后 ,用 户 支持 的 认证 头 中 的 校 验 和 必须 进行 验证 。 如 果 校 验 和 的 类 
型 是 不 支持 的 ,将 返回 一 个 KDC_ERR_SUMTYPE_NOSUPP 消息 。 

(3) KRB_TGS_REP 消息 的 生成 。KRB_TGS_REP 消息 格式 与 KRB_AS_REP 消息 
格式 一 样 ,只 是 其 类 型 域 置 为 KRB_TGS_REP, 包 括 一 个 被 请 求 的 服务 器 的 票据 或 为 获得 
被 请 求 的 票据 而 连接 的 一 个 中 间 KDC 的 票据 授权 服务 器 的 票据 。 通 过 质询 Kerberos 数据 
库 可 找到 正确 服务 器 的 记录 。 如 果 请 求 是 要 求 一 个 远程 域 的 TGT 时 ,并 且 如 果 与 所 请 求 
的 域 之 间 没 有 共享 密 钥 , 那 么 Kerberos 服务 器 将 选择 一 个 它 与 之 有 共享 密 钥 的 , 且 与 被 请 
求 的 域 最 近 的 域 并 使 用 此 域 。 

(4) KRB_TGS_REP 消息 的 接收 。 当 客户 收 到 KRB_TGS_REP 时 ,处 理 方式 与 上 述 
的 KRB_AS_REP 的 处 理 方式 相同 。 主 要 的 区 别 是 响应 的 密 文部 分 必须 使 用 来 自 TGT 的 
会 话 密 钥 进行 解密 ,而 不 是 用 客户 的 秘密 密 钥 。 

4. KRB SAFE 交换 

KRB SAFE 消息 可 为 客户 用 于 申请 检测 对 交换 的 消息 修改 的 能 力 。 

(D KRB SAFE 消息 的 生成 。 当 一 个 应 用 欲 发 送 一 个 KRB_SAFE 消息 时 , 它 收集 其 
数据 和 正确 的 控制 信息 并 为 之 计算 一 个 校 验 和 , 校 验 和 使 用 子 会 话 密 钥 或 会 话 密 钥 来 生成 。 
KRB SAFE 消息 的 控制 信息 包括 时 间 惟 和 一 个 序列 号 。 当 所 有 发 送 的 消息 为 对 方 接收 时 ， 
序列 号 是 有 用 的 。 如 果 一 个 应 用 程序 期 望 忍 受 消 息 的 丢失 而 不 重 发 ,那么 时 间 戳 是 一 个 适 
当 的 重 放 检测 机 制 。 在 计算 校 验 和 之 后 ,客户 将 消息 发 送 。 
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(2 KRB SAFE 消息 的 接收 。 当 一 个 应 用 接收 了 一 个 KRB_SAFE 消息 后 , 它 做 以 下 
检验 。 如 果 出 现 了 任何 的 错误 ,应 用 将 记录 下 一 个 错误 代码 。 首 先 检查 的 是 消息 中 的 协议 
版 本 号 和 类 型 域 是 否 符合 要 求 。 如 果 不 匹 配 则 返回 KRB_AP_ERR_BADVERSION 或 
KRB AP ERR MSG TYPE 错误 。 如 果 检 查 的 校 验 和 是 不 正确 的 , 则 返回 一 个 错误 信息 
KRB_AP_ERR_INAPP_CKSUM。 此 外 ,如 果 消 息 中 包含 了 一 个 不 正确 的 序列 号 , 则 返回 
一 个 错误 信息 KRB AP ERR BADORDER;KRB AP ERR MODIFIED 表示 对 收 到 信息 
计算 的 校 验 和 与 收 到 的 检验 和 不 匹配 。 

如 果 通 过 了 所 有 的 检查 ,那么 应 用 可 确定 消息 是 由 其 通信 对 方 发 出 , 且 在 传递 过 程 中 没 
有 被 修改 。 


13.2 X.509 协议 


OSI 目录 检索 服务 标准 X. 500 首次 公布 于 1988 年 ,该 标准 中 包括 了 一 部 分 陈述 认证 的 
标准 , 即 ISO/IEC 9594-8 或 ITU-T X. 509 建议 。 根 据 分 析 和 研究 结果 ,1993 年 和 1995 年 
分 别 对 X. 509 建议 作 了 微小 修改 ,目前 已 发 展 到 了 第 4 版 本 。 


13.2.1 X.509 协议 结构 


为 了 在 成 员 A 和 B 之 间 提 供 相互 认证 ,选择 双向 认证 或 者 三 向 认证 ,如 图 13. 2 所 示 。 
为 了 完成 认证 ,A 需要 B 的 公 钥 证 书 ,而 B 需 要 A 的 公 钥 证 书 。 为 了 核对 证 书 ,进一步 证 实 


公 钥 ,也 许 需要 一 个 证 书 授权 链 。 


公 钥 证 书 分 配 


第 1 次 交换 的 数据 项 


第 2 次 交换 的 数据 项 


.第 3 次 交换 的 数据 项 _。 


图 13.2 X.509 协议 结构 


公 钥 证 书 可 通过 访问 目录 服务 或 A A B 之 间 通 过 认证 直接 交换 证 书 来 获得 。 

在 描述 X. 509 认证 交换 时 ,用 到 了 以 下 记号 : 

E,{} : 表示 在 成 员 x 的 公 钥 下 一 系列 数据 值 的 加 密 结果 。 

S. 0: 表示 一 系列 数据 值 连同 用 成 员 x 的 私 钥 对 这 些 值 进行 的 签名 。 

tsy : 表示 由 成 员 x 产 生 的 一 个 当前 时 间 戳 ,帮助 成 员 y 检查 重 放 消 息 ( 也 可 能 包含 所 
传递 消息 的 产生 和 过 期 日 期 /时 间 ) 。 

nrv,: 表示 由 成 员 x 发 送 的 一 个 非 重复 值 ,帮助 成 员 y 检查 重 放 消 息 。 

keyw : 表示 由 成 员 x 产 生 的 一 个 秘密 密 钥 ,用 于 保护 x 和 y 之 间 的 通信 。 

在 双向 交换 中 ,传递 的 数据 项 如 下 。 

第 1 个 数据 项 : ASA {tsas ,nrvap,B,Es{Keyas)}。 


N 
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第 2 个 数据 项 : Sa (tsp s nrvga Ao nrvas Ea {Keypa 27 o 

Es {Keyan} fll Ea{Keysa) 是 可 选择 的 。 在 第 1 个 数据 项 的 接收 端 ,B 验证 A 的 签名 , 检 
查 消息 中 的 B 的 识别 符 是 否 是 正确 的 ,检查 时 间 惟 是否 是 当前 的 ,检查 用 于 免 遭 重 放 的 非 
重复 值 ( 如 果 使 用 了 非 重复 值 的 话 )。 在 第 2 个 数据 项 的 接收 端 ,A 完成 相应 的 一 系列 操作 。 
值得 注意 的 是 ,对 每 一 个 消息 ,签名 验证 提供 了 基本 的 认证 ,时 间 截 或 非 重 复 值 使 同一 验证 
者 免 遭 重 放 攻 击 ,包含 在 消息 中 的 接收 者 的 识别 符 使 不 同 验证 者 免 遭 重 放 攻 击 。 以 加 密 形 
式 发 送 的 KeyAa 或 Keyss 是 可 选择 的 。 它 们 的 用 途 没有 具体 说 明 , 但 通常 人 们 将 它们 用 于 
支持 基于 对 称 密码 技术 的 数据 的 机 密 性 或 完整 性 保护 。 

在 三 向 交换 中 ,传递 的 前 两 项 数据 项 除了 不 需要 时 间 戳 之 外 与 双向 交换 中 的 一 样 。 另 
一 个 从 A 传 到 B 的 数据 项 如 下 。 

第 3 个 数据 项 : Sa (B, nrvea} 。 

在 三 向 交换 中 ,在 第 2 个 数据 项 的 接收 端 ,成 员 A 检查 收 到 的 nrvas 是 否 和 在 第 1 个 数 
据 项 中 发 送 来 的 相应 值 一 样 。 类 似 地 ,在 第 3 个 数据 项 的 接收 端 ,成 员 B 检查 收 到 的 nrvaA 
是 否 和 在 第 2 个 数据 项 中 发 送 来 的 相应 值 一 样 。B 也 检查 A 对 第 3 个 数据 项 的 签名 。 在 三 
向 交换 中 ,用 于 重 放 检测 目的 的 时 间 戳 不 再 需要 。 


13.2.2 X.509 v3 证 书 


公 钥 的 使 用 者 应 当 确信 加 密 或 数字 签名 算法 中 使 用 的 相关 私 钥 为 真实 的 远程 主体 (人 
或 系统 ) 所 拥有 ,这 是 通过 使 用 公 钼 证 书 来 实现 的 。 公 钥 证 书 是 绑 定 公 钥 与 主体 的 数据 结 
构 。 绑 定 是 通过 可 信 的 证书 认证 机 构 (CA) 签 署 每 个 证 书 来 实现 的 。 

X. 509 证 书 最 为 广泛 的 一 个 应 用 是 在 支持 SSL 协议 的 Web 浏览 器 中 的 应 用 。 其 他 基 
于 X. 509 证 书 的 技术 有 各 种 代码 签名 机 制 ( 如 签名 的 Java Archives, Microsoft 认证 码 ) 各 
种 安全 电子 邮件 标准 (如 PEM、S/MIME) 和 电子 商务 协议 (如 SET) 。 

有 两 种 基本 的 获得 证 书 的 方法 : 一 种 是 主体 自己 建立 ; 另 一 种 是 主体 请 求 一 个 CA 为 
其 签发 一 个 。 

X. 509 定义 了 证 书 中 包含 的 信息 ,并 给 出 了 其 格式 。 所 有 的 X. 509 证 书包 括 下 列 信息 
和 一 个 签名 : 版 本 .序列 号 .签名 算法 标识 发布 者 名 称 \ 有 效 期 .主体 名 称 、 主 体 公 钥 信 息 。 

证 书 中 的 所 有 数据 使 用 两 个 相关 的 标准 进行 编码 , 即 ASN. 1 和 DER, ASN. 1 描述 数 
据 ,DER 描述 了 一 个 单一 的 存储 和 传递 数据 的 方法 。 


1. 证 书 路 径 

如 果 公 钥 使 用 者 没有 持 有 一 个 由 CA 签名 的 证 书 , 那 么 它 将 需要 一 个 附加 的 证 书 以 获 
得 此 公 钥 。 一般 而 言 ,需要 一 个 包括 CA 签署 的 公 钥 拥有 者 的 证 书 和 多 个 其 他 CA 签署 的 
证 书 的 多 级 证 书 链 ,此 证 书 链 也 称 为 证 书 路 径 。 


2. 证 书 撤销 

当 一 个 证 书 被 签发 时 ,在 其 整个 有 效 期 内 是 可 使 用 的 。 然 而 ,多 种 情况 可 导致 证 书 在 其 
有 效 期 期 满 之 前 变 为 无 效 。 如 名 称 的 改变 ,主体 与 CA 之 间 关 联 的 改变 ,相应 私 钥 的 崩溃 或 
有 崩溃 的 嫌疑 。 在 这 些 情况 下 , CA 需要 撤销 证 书 。X. 509 定义 了 证 书 撤销 的 一 种 方法 。 
这 种 方法 包括 每 个 CA 定期 发 布 的 一 个 称 为 证 书 撤销 链 (CRL) 的 签名 数据 结构 。CRL 是 


一 一 一 一 一 一 一 #138 鼻 型 的 分 布 式 队 延 霓 秋 和 网 络 安全 通信 雇 私 a 
标识 由 CA ER KTMA h A |i E ARER AA RE UR 
证 书 以 其 证 书 序列 号 标识 在 CRL 中 。 当 系统 用 户 使 用 一 个 证 书 时 (如 用 于 验证 一 个 远程 用 
户 的 数字 签名 ) ,此 系统 不 仅 检查 证 书签 名 和 有 效 性 ,还 获得 一 个 适当 的 近期 CRL, 并 检查 
此 证 书 序列 号 不 在 CRL 上 。“ 适 当 的 近期 ”的 含义 可 能 与 本 地 策略 不 相同 ,但 它 往往 指 最 近 
发 布 的 CRL。 一 个 CA 周期 地 发 布 一 个 新 的 CRL ,增加 到 CRL 的 一 个 条 目 作为 跟随 撤销 
通知 的 下 一 个 更 新 ,而 当 一 个 条 目 出 现在 一 个 超过 撤销 证 书 有 效 期 后 发 布 的 CRL 中 时 ,将 
被 从 当前 CRL 中 去 掉 。 

这 种 撤销 方法 的 优点 是 CRL 可 以 使 用 与 证 书 自身 完全 一 样 的 方式 进行 分 配 , 即 通过 不 
可 信 通 信和 服务 器 系统 。 使 用 不 可 信 通 信和 服务 器 系统 的 一 个 局 限 性 是 ,撤销 的 时 间 间 隔 
将 局 限于 CRL 发 布 的 周期 。 例 如 ,如 果 一 个 撤销 此 时 被 记录 ,那么 直到 下 一 次 CRL 发 布 时 
撤销 才 被 可 靠 地 通知 证 书 使 用 系统 。 此 间隔 取决 于 CA 发 布 CRL 的 时 间 间 隔 。 


13.2.3 证 书 及 其 扩展 


证 书 的 应 用 范围 极其 广泛 ,因而 其 互 操作 性 要 求 也 极 强 。 


1. 基本 证 书 域 

这 里 给 出 Internet 中 使 用 的 X. 509 V3 证 书 的 描述 。 

(1) Certificate, Certificate 是 一 个 包括 以 下 3 个 域 的 序列 。 

© tbsCertificate。 此 域 包括 主体 和 发 布 者 的 名 称 、 主 体 的 公 钥 一 个 有 效 期 以 及 其 他 
相关 信息 。 

@ signatureAlgorithm。 此 域 包括 CA 用 于 签名 此 证 书 的 密码 算法 的 标识 。 

@ signatureValue。 此 域 包括 一 个 数字 签名 。 为 生成 此 签名 , CA 证 书证 明 
tbsCertificate 域 中 信息 的 有 效 性 。 特 别 地 ,CA 证 明 公 钥 与 证 书 主体 之 间 的 绑 定 。 

(2) TBSCertificate。TBSCertificate 是 一 个 包括 与 证 书 主体 和 发 布 证 书 的 CA 相关 的 
信息 的 序列 。 每 个 TBSCertificate 包括 主体 和 发 布 者 的 名 称 、 主 体 的 公 钥 一 个 有 效 期 一 
个 版 本 号 .一 个 序列 号 和 扩展 。 

O 版 本 。 此 域 描述 了 编码 证 书 的 版 本 。 

Q 序列 号 。 序 列 号 是 CA 签发 给 每 个 证 书 的 一 个 整数 。 对 于 每 个 证 书 它 必须 是 唯 
一 的 。 
© 签名 。 此 域 包括 CA 用 于 签名 证 书 的 算法 的 标识 。 此 标识 必须 与 Certificate 的 
signatureAlgorithm 域 中 算法 标识 相同 ,而 选项 参数 域 的 内 容 将 根据 不 同 的 算法 标识 而 有 
所 不 同 。 

(D 发 布 者 。 此 域 标识 了 签名 和 发 布 证 书 的 主体 ,还 必须 包括 一 个 非 空 可 识别 名 (DN)。 

@ 有 效 期 。 证 书 的 有 效 期 是 证 书 保证 其 支持 有 关 证 书 状 况 的 信息 的 一 个 时 间 间 隔 。 
此 域 表 示 为 SEQUENCE, 包括 两 个 日 期 , 即 一 个 表示 证 书 有 效 期 开始 的 日 期 (notBefore) 和 
一 个 表示 证 书 有 效 期 结束 的 日 期 (notAfter) 。 

© 主体 。 此 域 标识 与 存储 在 主体 公 钥 域内 的 公 钥 相关 联 的 实体 。 

O 主体 公 钥 信息 。 此 域 包括 公 钥 以 及 公 钥 所 使 用 的 算法 的 标识 。 算 法 用 
AlgorithmIdentifier 结构 来 标识 。 

唯一 标识 。 此 域 出 现在 证 书 中 用 于 处 理 主体 /发 布 者 名 称 的 重用 的 可 能 。 
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@ 扩展 。 此 域 是 以 一 个 或 多 个 证 书 扩展 的 一 个 SEQUENCE 出 现 的 。 


2. 证 书 扩展 

X.509 V3 证 书 的 扩展 提供 了 关联 用 户 或 公 钥 的 附加 性 质 和 管理 验证 层次 的 方法 。 
X. 509 V3 证 书 格式 允许 一 个 团体 定义 私有 的 扩展 ,从 而 使 此 团体 具备 独 有 的 信息 。 一 个 
证 书 的 每 个 扩展 被 指定 为 关键 的 或 非 关键 的 。 当 一 个 证 书 使 用 系统 遇 到 一 个 它 不 能 识别 的 
关键 扩展 时 它 必须 拒绝 此 证 书 , 但 如 果 是 一 个 非 关 键 扩 展 ,尽管 它 无 法 识别 也 是 可 以 忽略 不 
计 的 。 

CD 标准 扩展 。 这 里 给 出 X. 509 定义 的 用 于 Internet PKI 中 的 标准 证 书 扩展 。 每 个 扩 
展 与 X. 509 定义 的 一 个 OID 相关 联 。 

O 权威 密 钥 标识 。 权 威 密 钥 标识 扩展 提供 了 识别 用 于 签名 一 个 证 书 的 私 钥 所 对 应 的 
一 个 公 钥 的 一 种 方法 。 当 一 个 发 布 者 具有 多 个 签名 密 钥 时 , 则 使 用 此 扩展 。 识 别 必须 基于 
公 钥 标识 或 基于 发 布 者 的 名 称 和 序列 号 。 

@ 主体 密 钥 标识 。 主 体 密 钥 标 识 扩展 提供 了 识别 包括 特定 公 钥 证 书 的 一 种 方法 。 主 
体 密 钥 标 识 的 值 必须 为 权威 密 钥 标 识 扩展 的 密 钥 标识 域 中 的 值 。 

C 密 钥 使 用 。 密 钥 使 用 扩展 定义 了 证 书 中 包含 的 密 钥 的 作用 。 当 一 个 密 钥 可 用 于 多 
个 操作 中 时 将 用 此 扩展 约束 。 

@ 私 钥 使 用 期 。 私 钥 使 用 期 扩展 允许 证 书 发 布 者 为 私 钥 说 明 一 个 有 效 期 ,主要 是 为 签 
名 密 钥 使 用 。 此 扩展 包括 两 个 选项 组 件 : notBefore 和 notAfter。 由 两 个 组 件 说 明 的 时 间 
之 前 和 之 后 与 证 书 相关 联 的 私 钥 不 应 用 于 签名 。 

© 证 书 策略 。 证 书 策略 扩展 包括 多 个 策略 信息 术语 的 一 个 系列 ,每 个 术语 包括 一 个 目 
标 标识 (OID) 和 可 选择 的 语句 。 这 些 策 略 信息 术语 指出 了 证 书 发 布 所 基于 的 策略 以 及 证 书 
使 用 的 目的 。 有 特定 策略 要 求 的 应 用 将 有 一 个 由 它们 所 接受 的 策略 组 成 的 策略 链 并 将 证 书 
的 策略 OIDs 与 链 中 策略 的 OIDs 进行 比较 。 证 书 策略 书写 者 和 证 书 发 布 者 使 用 两 类 策略 
语句 : CPS Pointer 和 User Notice。 前 者 包括 一 个 指示 器 ,用 于 指示 由 CA 发 布 的 证 书 实践 
声明 CPS。 后 者 的 目的 在 于 当 一 个 证 书 使 用 时 显示 给 响应 方 。User Notice 包括 两 个 可 选 
择 的 域 : noticeRef 和 explicitText。 

© 策略 映射 。 策 略 映射 扩展 用 于 CA 证 书 。 它 列 了 一 个 或 多 个 OID 对 ,每 个 对 包括 一 
个 issuerDomainPolicy 和 subjectDomainPolicy。 

D 主体 可 选 名 称 。 主 体 可 选 名 称 扩展 可 将 附加 的 标识 绑 定 到 证 书 主体 。 定 义 的 选项 
包括 一 个 Internet 电子 邮件 地 址 、 一 个 DNS 名 称 , 一 个 IP 地 址 和 一 个 统一 源 标 识 CURI) 。 
当 这 样 的 附加 标识 绑 定 到 一 个 证 书 中 时 ,必须 使 用 主体 可 选 名 称 扩展 。 

发 布 者 可 选 名 称 。 与 上 述 的 主体 可 选 名 称 扩展 类 似 , 发布 者 可 选 名 称 扩 展 用 于 关联 
Internet 类 型 标识 与 证 书 发 布 者 。 

© 基本 约束 。 基 本 约束 扩展 标识 证 书 的 主体 是 否 为 一 个 CA, 以 及 贯穿 此 CA 的 一 个 
证 书 路 径 的 深度 。pathLenConstraint RRE cA 为 True 时 才 有 意义 。 此 时 , 它 给 出 了 在 一 
个 证 书 路 径 中 跟随 此 证 书 的 CA 证 书 的 最 大 数目 。0 值 表示 在 路 径 中 只 有 一 个 终端 主体 证 
书 跟 随 其 后 。 

O 名 称 约束 。 名 称 约束 扩展 只 在 CA 证 书 中 使 用 ,用 于 指出 由 一 个 证 书 路 径 中 后 来 的 
证 书 的 所 有 主体 名 称 组 成 的 一 个 名 称 空间 。 对 于 URIs, 约束 应 用 于 名 称 的 主机 部 分 , 它 将 
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说 明 一 个 主机 或 一 个 域 ,如 “foo. bar. com” Fil". xyz. com”。 当 约束 以 一 个 句点 开始 时 , 它 可 
被 扩展 为 多 个 子 域 ,如 “abc. xyz. com” 和 “abc. def. xyz. com” 都 满足 约束 “. xyz. com”。 然 
而 ,“xyz. com” EAN MEAR“. xyz. com” 的 。 当 约束 不 是 以 一 个 句点 开始 时 , 它 说 明了 一 个 
主机 。 

QD 策略 约束 。 策 略 约束 扩展 以 两 种 方式 约束 路 径 的 有 效 性 。 一 种 是 禁止 策略 映射 ; 另 
一 种 是 要 求 路 径 中 的 每 个 证 书包 含 一 个 可 接受 的 策略 标识 。 

四 CRL 分 配点 。 该 点 扩展 标识 CRL 信息 是 如 何 获 得 的 。 如 果 cRLDistributionPoints 扩 
展 包括 一 个 类 型 为 URI 的 DistributionPointrName, 那 么 URI 是 当前 CRL 的 一 个 指针 且 将 
由 相关 的 cRLIssuer 发 布 。 

(2) 私有 扩展 。 这 部 分 定义 了 Internet 公 钥 基础 设施 中 使 用 的 一 个 新 的 扩展 。 此 扩展 
可 用 于 识别 支持 发 布 CA 的 一 个 有 效 在 线 服 务 的 直接 应 用 中 。 由 于 信息 可 以 由 多 种 格式 获 
得 ,每 个 扩展 是 一 个 表示 URI 的 IA5String 值 的 序列 。URI 隐 含 地 说 明了 信息 及 获得 信息 
的 位 置 和 格式 。 一 个 对 象 标识 与 id-pkix 名 称 空间 内 的 arc id-pe 下 定义 的 私有 扩展 相关 
WK, Internet PKI 未 来 定义 的 扩展 也 将 是 基于 arc id-pe 的 。 

授权 信息 访问 扩展 指出 了 如 何 访问 证 书 发 布 者 的 CA 信息 及 服务 ,信息 及 服务 包括 在 
线 有 效 服 务 和 CA 策略 数据 。 此 扩展 包含 在 主体 或 CA 证 书 中 。 

AuthorityInfoAccessSyntax 序列 中 的 每 一 项 描述 了 CA 发 布 包含 此 扩展 的 证 书 的 附加 
信息 的 格式 与 位 置 。 信 息 的 类 型 和 格式 由 accessMethod 域 来 说 明 ,accessLocation 域 则 说 
明了 信息 的 位 置 ,检索 机 制 隐 含 在 这 两 个 域 中 。 

RFC2459 文档 为 accessMethod 定义 了 一 个 OID, 当 附加 信息 列 出 的 CAs 发 布 的 证 书 
为 发 布 包含 此 扩展 的 证 书 的 CA 的 上 级 时 ,使 用 id-ad-calssuers OID, CA 发 布 者 引用 描述 
有 助 于 证 书 使 用 者 选择 一 个 终止 在 为 证 书 使 用 者 信任 的 一 点 上 的 证 书 路 径 。 当 id-ad- 
calssuers 以 accessLocation 类 型 出 现时 ,accessLocation 域 描 述 了 引用 描述 服务 器 和 获取 引 
用 描述 的 访问 协议 。accessLocation 域 定 义 为 一 个 可 以 采用 多 种 形式 的 GeneralName, 


13.2.4 CRL 及 其 扩展 


RFC2459 定义 了 每 个 CRL 中 出 现 的 信息 的 一 个 基准 集 ,以 及 CRL 内 的 常用 性 质 的 公 
用 地 址 和 这 些 性 质 的 常用 表达 。 

1. CRL X 

CertificateList 是 一 个 至 少 包括 以 下 3 个 域 的 序列 : 

(1) tbsCertList。 此 域 是 一 个 包括 发 布 者 名 称 、 发 布 日 期 ,下 一 个 链 的 发 布 日 期 撤销 
证 书 链 以 及 可 选 的 CRL 扩展 。 而 且 , 撤 销 证 书 链 的 每 一 项 由 使 用 者 证 书 序列 号 、 撤 销 日 期 
以 及 可 选 CRL 项 扩展 组 成 的 序列 来 定义 。 

(2) signatureAlgorithm。 此 域 包括 CA 用 于 签名 CertificateList 的 算法 的 算法 标 
识 符 。 

(3) signatureValue。 此 域 包 括 一 个 数字 签名 ,ASN. 1 DER 编码 的 tbsCertList 作为 数 
字 签 名 函数 的 一 个 输入 ,签名 的 结果 也 放 和 人 此 域 中 。 


2. CRL 扩展 
CRL 扩展 提供 了 一 种 关联 附加 性 质 与 CRL 的 一 种 方法 。X. 509 V2 CRL 格式 也 允许 
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主体 定义 为 其 携带 独一无二 的 信息 的 私有 扩展 。 一 个 CRL 的 每 个 扩展 可 设置 为 关键 的 或 
非 关键 的 。 如 果 一 个 CRL 遇 到 一 个 关键 性 的 扩展 却 不 能 处 理 ,那么 此 CRL 是 无 效 的 。 然 
而 ,一 个 不 可 识别 的 非 关 键 扩展 将 被 忽略 。 

COD 授权 密 钥 标 识 。 授 权 密 钥 标识 扩展 提供 了 一 种 识别 与 签名 一 个 CRL 的 私 钥 对 应 
的 公 钥 方法 。 标 识 可 基于 密 钥 标识 或 基于 发 布 者 名 称 和 序列 号 。 当 一 个 发 布 者 拥有 多 个 签 
名 密 钥 时 ,此 扩展 是 非常 有 用 的 。 

(2) 发 布 者 可 选 名 称 。 发 布 者 可 选 名 称 扩 展 可 将 附加 标识 与 CRL 的 发 布 者 相关 联 。 
定义 的 选项 包括 rfc822 4 Pr DNS 名 称 、IP 地 址 及 URI. 

(3) CRL Number, CRL Number 是 一 个 非 关 键 CRL 扩展 , 它 传 达 了 CA RAH 
CRL 的 一 个 单调 递增 的 序列 号 。 此 扩展 允许 用 户 易于 确定 何 时 一 个 特定 的 CRL 蔡 代 另 一 
4 CRL, 

(4) Delta-CRL 指示 器 。Delta-CRL 指示 器 是 一 个 关键 CRL 扩展 ,用 于 标识 一 个 
Delta-CRL。 通 过 以 一 个 格式 来 替代 CRL 结构 以 存储 撤销 信息 ,Delta-CRL 可 显著 改善 应 
用 的 处 理 时 间 。BaseCRLNumver 的 值 标识 了 作为 生成 此 Delta-CRL 的 起 点 的 基准 CRL 
的 CRL 数 。Delta-CRL 包括 基准 CRL 和 与 Delta-CRL 一 同 发 布 的 当前 CRL 之 间 的 变换 。 

发 布 分 配点 是 一 个 关键 CRL 扩展 ,可 标识 一 个 特定 CRL 的 CRL 分 配点 ,并且 指 出 了 
CRL 是 否 仅 包括 终端 证 书 的 撤销 ,或 者 CA 证 书 的 撤销 ,又 或 者 是 理由 码 的 一 个 有 限 集 。 
CRL 是 用 CA 的 私 钥 签 名 的 ,CRL 分 配点 没有 自己 的 密 钥 对 。 与 分 配点 关联 的 理由 码 在 
onlySomeReasons 中 说 明 , 如 果 onlySomeReasons 没有 出 现 ,分 配点 将 包括 所 有 理由 点 的 撤 
销 。CAs 可 使 用 CRL 分 配点 基于 崩溃 和 常规 撤销 来 划分 CRL。 在 这 种 情况 下 ,理由 码 
keyCompromise(1) 和 cACompromise(2) 的 撤销 出 现在 一 个 分 配点 ,其 他 理由 码 的 撤销 出 现 
在 另 一 个 分 配点 中 。 


3. CRL 输入 项 扩展 

CRL 输入 项 扩展 提供 了 关联 附加 属性 与 CRL 扩展 的 一 种 方法 。CRL 输入 项 的 每 一 个 
扩展 可 设置 为 关键 的 或 非 关键 的 。 如 果 一 个 CRL 遇 到 一 个 关键 的 CRL 输入 项 扩展 项 却 不 
知 如 何 处 理 , 那 么 此 CRL 将 无 效 。 然 而 ,一 个 非 关键 的 CRL 输入 项 扩展 将 被 忽略 不 计 。 下 
面 将 给 出 在 Internet CRL 输入 项 和 信息 标准 位 置 内 使 用 的 推荐 扩展 的 说 明 。 

(1) 理由 码 (Reason Code)。 理 由 码 是 一 个 非 关 键 CRL 输入 项 扩展 ,用 于 标识 证 书 撤 
销 的 理由 。CA 在 其 CRL 输入 项 中 包括 有 意义 的 理由 码 。 

(2) 持 有 指令 码 (Hold Instruction Code)。 持 有 指令 码 是 一 个 可 提供 注册 指令 标识 的 
非 关键 CRL 输入 项 扩展 ,用 于 指出 遇 到 一 个 已 持 有 证 书后 所 发 生 的 行为 。 

(3) 无 效 日 期 。 无 效 日 期 是 一 个 非 关 键 CRL 输入 项 扩展 ,可 提供 一 个 已 知 的 或 猜测 的 
私 钥 崩 溃 的 日 期 或 者 证 书 无 效 的 日 期 。 此 日 期 可 早 于 CRL 输入 项 中 的 CA 处 理 撤销 的 撤 
销 日 期 。 当 一 个 撤销 由 CA 在 一 个 CRL 中 首次 登记 时 ,无 效 日 期 可 早 于 较 早 CRLs 的 发 布 
日 期 。 

(4) 证 书 发 布 者 。 此 CRL 输入 项 扩展 标识 了 与 一 个 间接 的 CRL 的 一 个 输入 项 相关 联 
的 证 书 的 发 布 者 。 如 果 此 扩展 没有 出 现在 一 具 非 直接 的 CRL 的 第 一 个 输入 项 中 ,证书 发 布 
者 默认 为 CRL 发 布 者 。 在 一 非 直接 的 CRL 的 后 继 输入 项 中 ,如 果 此 扩展 没有 出 现 ,此 输入 
项 的 证 书 发 布 者 与 先前 的 输入 项 的 证 书 发 布 者 一 样 。 
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13.2.5 证 明 路 径 的 检验 


证 明 路 径 处 理 用 于 验证 对 象 可 区 别名 称 /对 象 可 选 名 称 和 对 象 公 钥 之 间 的 绑 定 。 绑 定 
由 构成 路 径 的 证 书 中 说 明 的 约束 所 限制 。 

1. 基本 路 径 检验 

一 个 证 明 路 径 是 一 个 证 书 的 序列 ,其 中 

CD 对 于 所 有 的 {1,2,…,n 一 1} 中 的 z, 证 书 z 的 对 象 是 z+ 十 1 Ad. 

(2) 证 书 z 一 1 是 一 个 自 签名 的 证 书 。 

(3) 证 书 x==n 是 一 个 终端 证 书 。 

路 径 处 理 逻 辑 的 输入 包括 : 

(1) 一 个 长 为 n 的 证 明 路 径 。 

(2) 一 个 初始 策略 标识 集 , 它 标识 了 一 个 或 多 个 可 为 证 明 路 径 处 理 所 接受 的 证 书 策略 。 

G) 当前 日 期 /时 间 。 

(4) 确定 路 径 有 效 性 的 时 间 T. 

从 i 二 1 到 的 每 个 证 书 的 路 径 处 理 软件 执行 的 行为 描述 如 下 : 自 签名 证 书 是 证 书 ;一 
1, 终 端 证 书 是 i 二 n。 处 理 是 按 序 进行 的 ,因此 证 书 i 的 处 理 影响 处 理 证 书 i 十 1 的 状态 变 
量 。 路 径 处 理 行为 包括 以 下 内 容 。 

(1) 验证 基本 证 书信 息 ,包括 : 

© 证 书 是 用 来 自 证 书 i 一 1 的 对 象 公 钥 签名 的 。 

© 证 书 有 效 期 包括 时 间 T. 

@ 证 书 在 时 间 T 时 未 被 撤销 并 且 目 前 不 处 于 时 间 T. 之 前 就 开始 的 保留 状态 。 

@ 对 象 和 发 布 者 名 称 链 的 正确 性 。 

(2) 验证 对 象 名 称 和 subjectAltName 扩展 与 限制 子 树 状态 变量 是 一 致 的 。 

(3) 验证 对 象 名 称 和 subject AltName 扩展 与 排除 子 树 状 态 变量 是 一 致 的 。 

(4) 验证 策略 信息 与 可 接受 的 策略 集 是 一 致 的 : 

QD 如 果 证 书 策略 扩展 标志 为 关键 的 ,策略 扩展 和 可 接受 策略 的 交集 为 非 空 。 

@ 可 接受 策略 集 用 其 新 值 对 交集 结果 赋值 。 

C5) 验证 可 接受 策略 集 和 初始 策略 集 的 交集 是 非 空 的 。 

C6) 识别 和 处 理 证 书 中 出 现 的 任何 其 他 的 关键 性 扩展 。 

(7) 验证 证 书 是 一 个 CA 证 书 。 

(8) 如 果 证 书 中 出 现 permittedSubtress, 则 将 限制 子 树 状态 变量 设置 为 其 之 前 的 值 与 
在 扩展 域 中 指出 的 值 的 交集 。 

(9) 如 果 excludedSubtrees 出 现在 证 书 中 , 则 将 排除 子 树 状态 变量 设置 为 其 之 前 的 值 
与 在 扩展 中 指出 的 值 的 并 集 。 

(10) 如 果 一 个 策略 约束 扩展 包含 在 证 书 中 , 显 式 策略 和 策略 映射 状态 变量 的 修改 
包括 : 

© 如果 requireExplicitPolicy 出 现 且 值 为 ,那么 显 式 策略 状态 变量 被 设置 为 其 当 值 与 
r 和 i 之 和 中 的 最 小 值 。 

Q) 如 果 inhibitPolicyMapping 出 现 且 其 值 为 9, 那么 策略 映射 状态 变量 被 设置 为 其 他 


370 


= REREH RESTR 


WHS ¢ Mi 之 和 中 的 最 小 值 。 

(11) 如 果 密 钥 使 用 扩展 是 关键 的 ,那么 保证 了 keyCertSign 比特 位 是 设置 的 。 

如 果 上 述 的 任 一 项 检查 失败 了 ,那么 过 程 终止 ,返回 一 个 错误 指示 和 一 个 适当 的 理由 。 
如 果 上 述 的 所 有 项 通过 终端 证 书 的 检验 ,那么 过 程 终 止 ,返回 一 个 成 功 指示 和 一 个 在 证 书 集 
中 遇 到 的 所 有 策略 的 限定 值 集 。 


2. 扩展 路 径 检 验 

上 述 提出 的 路 径 检验 算法 基于 多 个 简化 假设 , 当 假设 不 成 立时 此 算法 可 扩展 。 扩 展 办 
法 是 通过 向 检验 模块 提供 自 签 名 证 书 集 。 在 这 种 情况 下 ,一 个 有 效 路 径 可 开始 于 任 一 个 自 
签名 证 书 。 任 一 特定 密 钥 的 可 信 路 径 的 限制 可 合并 进 自 签 名 证 书 的 扩展 中 。 此 时 , 自 签名 
证 书 允 许 路 径 检验 模块 自动 合并 安全 策略 和 要 求 。 也 可 为 上 述 证 书 路 径 处 理 过 程 说 明 一 个 
扩展 版 本 ,在 这 个 扩展 版 本 中 ,过 程 的 附加 输入 是 多 个 策略 证 明 授权 (PCA) 名 称 链 和 其 在 
检验 路 径 中 的 位 置 。 在 提名 的 PCA 的 位 置 上 ,CA 的 名 称 依照 此 链 进行 比较 。 如 果 找 到 了 
一 个 可 识别 的 PCA 名 称 ,那么 SubordinateToCA 的 一 个 约束 将 隐 含 地 假定 证 明 路 径 的 剩 
余部 分 和 后 续 的 处 理 。 如 果 没 有 找到 一 个 有 效 的 PCA 名 称 ,并 且 如 果 证 明 路 径 不 能 为 识别 
策略 的 基础 所 验证 ,那么 证 明 路 径 被 视 为 无 效 。 


13.2.6 算法 支持 


RFC2459 中 描述 了 X. 509 V3 所 使 用 的 Hash 函数 ,用 于 证 书 和 CRL 签名 的 数字 签名 
算法 ,以 及 为 证 书 中 公 钥 标识 OIDs 的 算法 。 

RFC2459 包括 了 3 个 Hash 函数 , 即 SHA-1,MD2 和 MD5。RFC2459 包括 了 3 个 基于 
RSA 加 密 算法 的 数字 签名 算法 ,这 些 数字 签名 算法 将 RSA 加 密 算法 分 别 与 MD2、MD5 和 
SHA-1 相 结 合 , 并 在 RFC2313 中 给 出 了 具体 定义 。RFC2459 描述 的 证 书 可 为 任 一 公 钥 算 
法 传递 一 个 公 钥 ,如 RSA 、DSA 和 Diffie-Hellman 算法 。 

与 Kerberos 协议 相 比 ,X. 509 协议 有 一 个 很 大 的 优点 , 即 X. 509 不 需要 物理 上 安全 的 
在 线 认证 服务 器 ,因为 一 个 证 书包 含 了 一 个 证 书 认证 机 构 CA 的 签名 。 公 钥 证 书 可 通过 使 
用 一 个 不 可 信 的 目录 服务 被 离线 地 分 配 。 


13.3 IPSec 协议 


IP 层 是 TCP/IP 网 络 中 最 关键 的 一 层 ,IP 作为 网 络 层 协议 ,其 安全 机 制 可 对 其 上 层 的 
各 种 应 用 服务 提供 透明 的 覆盖 式 安 全 保护 。 因 此 ,IP 安全 是 整个 TCP/IP 安全 的 基础 ,是 
Internet 网 络 安全 的 核心 。 

IP 协议 IPv4 由 于 最 初 设计 时 没有 过 多 地 考虑 安全 性 ,其 中 仅 有 的 一 个 安全 选项 是 为 
美国 国防 部 (DoD) 专 用 的 ,目前 在 Internet. 上 使 用 的 IP 均 未 对 安全 选项 进行 处 理 。IPv4 fit 
乏 对 通信 双方 真实 身份 的 验证 能 力 ,缺乏 对 网 上 传输 的 数据 的 完整 性 和 机 密 性 保护 ,并 且 由 
于 IP 地址 可 软件 配置 等 灵活 性 以 及 基于 源 IP 地 址 的 认证 机 制 , 使 得 IP 层 存在 着 网 络 业务 
流 易 被 监听 和 捕获 、IP 地 址 欺骗 、 信 息 泄 露 和 数据 项 被 算 改 等 攻击 ,而 IP 是 很 难 抵抗 这 些 
攻击 的 。 为 了 实现 安全 IP, Internet 工程 任务 组 IETF 于 1994 年 开始 了 一 项 IP RATE, 
专门 成 立 了 IP 安全 协议 工作 组 IPSEC ,来 制定 和 推动 一 套 称 为 IPSec(IP Security) Hy IP 安 
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全 协议 标准 。 其 目标 就 是 把 安全 特征 集成 到 IP 层 ,以 便 对 Internet 的 安全 业务 提供 低层 的 
支持 。IETF 于 1995 一 2004 年 相继 公布 了 一 系列 关于 IPSec 的 RFC 建议 标准 。 图 13. 3 展 
示 了 IPSec 协议 在 TCP/IP 中 的 位 置 。 


SMTP HTTP NNTP 


TCP 


IP/IPSec 


图 13.3 IPSec 协议 在 TCP/IP 中 的 位 置 


13.3.1 IPSec 体系 结构 


IPSec 是 指 IETF 以 RFC 形式 公布 的 一 组 安全 IP 协议 集 ,是 在 IP 包 级 为 IP 业务 提供 
保护 的 安全 协议 标准 ,其 基本 目的 就 是 把 安全 机 制 引入 IP 协议 ,通过 使 用 现代 密码 学 方法 
支持 机 密 性 和 可 认证 性 服务 ,使 用 户 能 有 选择 地 使 用 ,并 得 到 所 期 望 的 安全 服务 。IPSec 将 
几 种 安全 技术 结合 形成 一 个 比较 完整 的 安全 体系 结构 , 它 通过 在 IP 协议 中 增加 两 个 基于 密 
码 的 安全 协议 一 一 认证 头 (AH) 和 封装 安全 载荷 (ESP) 来 支持 IP 数据 项 的 可 认证 性 、 完 整 
性 和 机 密 性 。 通 过 IP 安全 协议 和 密 钥 管理 协议 构建 起 IP 层 安 全 体系 结构 的 框架 ,能 保护 
所 有 基于 IP 的 服务 或 应 用 。 并 且 当 这 些 安全 机 制 正确 实现 时 , 它 不 对 用 户 、 主 机 和 其 他 未 
采用 这 些 安全 机 制 的 Internet 部 件 有 负面 影响 。 由 于 这 些 安全 机 制 是 独立 于 算法 的 ,所 以 
在 选择 和 改变 算法 时 不 会 影响 其 他 部 分 的 实现 ,对 用 户 和 上 层 应 用 程序 是 透明 的 。IPSec 
的 设计 既 适 用 于 IPv4 又 适用 于 IPv6, 它 在 IPv4 中 作为 一 个 建议 的 可 选 服务 ,对 于 IPv6 是 
一 项 必须 支持 的 功能 。 


1. 安全 结构 与 功能 

IPSec 的 安全 结构 包括 以 下 4 个 基本 部 分 。 

(1) 安全 协议 一 一 AH 和 ESP。 

(2) 安全 关联 (SA)。 

(3) 密 钥 交换 一 一 手工 和 自动 (IKE)。 

(4) 认证 和 加 密 算法 。 

IPSec 由 两 大 部 分 3 类 协议 组 成 : IPSec 安全 协议 (AH/ESP) 和 密 钥 管理 协议 (IKE) 。 

IPSec 安全 协议 定义 了 如 何 通过 在 IP 数据 包 中 增加 扩展 头 和 字段 来 保证 IP 包 的 机 密 
性 .完整 性 和 可 认证 性 。 包 括 两 个 安全 协议 : IP 认证 头 (IP AH) fü IP 封装 安全 载荷 (IP 
ESP). 

一 个 密码 算法 的 安全 性 富 于 密 钥 之 中 。 如 果 密 钥 能 被 破解 或 损害 ,那么 攻击 者 就 能 读 
取 所 有 的 加 密 信息 。 因 此 , 密 钥 的 安全 性 是 安全 协议 的 一 个 非常 重要 的 组 成 部 分 。 此 外 ， 
SA 的 管理 对 于 IPSec 而 言 也 是 至 关 重 要 的 。 为 便于 IPSec 协议 的 独立 性 ,IPSec 将 分 开 考 
IÈ SA 和 密 钥 的 管理 ,这 就 是 Internet 密 钥 交换 协议 (IKE) IKE 定义 了 通信 实体 间 进 行 身 
份 认 证 、 创 建安 全 关联 协商 加 密 算法 以 及 生成 共享 会 话 密 钥 的 方法 。 

此 外 ,与 IPSec 密切 相关 的 一 个 协议 是 Internet 安全 关联 密 钥 管理 协议 (ISAKMP), 它 
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为 Internet 环境 下 安全 协议 使 用 的 安全 关联 和 密 钥 的 创建 定义 了 一 个 标准 通用 框架 ,不 仅 
仅 适 用 于 IPSec, IKE 是 ISAKMP 关于 IPSec 的 一 个 协议 标准 。 

IPSec 可 在 主机 或 网 关上 实现 ,通过 使 系统 能 选择 所 需要 的 安全 机 制 ,决定 使 用 的 算法 
和 密 钥 及 使 用 的 方式 ,在 IP 层 提供 所 要 求 的 安全 服务 。IPSec 能 在 主机 之 间 、 安 全 网 关 之 
间或 主机 与 安全 网 关 之 间 对 一 条 或 多 条 路 径 提 供 保护 。IPSec 提供 的 安全 功能 或 服务 主要 
包括 访问 控制 .无 连接 完整 性 ,数据 起 源 认证 、 抗 重 放 攻击 、 机 密 性 和 有 限 的 数据 流 机 密 性 。 

认证 头 (AH) 协 议 支持 访问 控制 数据 起 源 认 证 \ 无 连接 完整 性 和 抗 重 放 攻击 服务 ; 封 
装 安全 载荷 (ESP) 协 议 可 以 支持 机 密 性 、 访 问 控制 有限 的 数据 流 机 密 性 和 抗 重 放 攻 击 服 
务 。 可 以 同时 使 用 ESP 和 AH 以 提供 所 有 的 安全 服务 。 因 为 这 些 安全 服务 是 在 IP 层 提供 
的 ,所 以 能 被 任何 高 层 协议 如 TCP, UDP, ICMP, IGMP 等 使 用 。 


2. 安全 关联 与 隧道 

安全 关联 (SA) 的 概念 是 IPSec 的 基础 。IPSec 使 用 的 两 种 协议 (AH 和 ESP) 均 使 用 
SA,IKE 协议 (也 就 是 IPSec 使 用 的 密 钥 管理 协议 ) 的 一 个 主要 功能 就 是 SA 的 管理 和 维护 。 
SA 是 通信 对 等 方 之 间 对 某 些 要 素 的 一 种 协定 ,如 IPSec 协议 .协议 的 操作 模式 (传输 模式 和 
隧道 模式 ) ,密码 算法 、 密 钥 以 及 用 于 保护 它们 之 问 数据 流 的 密 钥 的 生存 期 。 如 果 希 望 同 时 
用 AH 和 ESP 来 保护 两 对 等 方 之 间 的 数据 流 , 则 需要 两 个 SA: 一 个 用 于 AH, 一 个 用 于 
ESP。 定 义 用 于 AH 或 者 ESP 的 隧道 操作 模式 的 SA 称 为 隧道 模式 SA ,而 定义 用 于 传输 操 
作 模 式 的 SA 称 为 传输 模式 SA。 安 全 关联 是 单 工 的 即 单 向 的 ,因此 ,对 于 输出 和 输入 的 数 
据 流 就 需要 独立 的 SA。 术语 SA 束 用 于 描述 一 组 SA ,该 组 SA 应 用 于 始 自 或 者 到 达 特 定 
主机 的 数据 。 

SA 是 通过 像 IKE 这 样 的 密 钥 管理 协议 在 通信 对 等 方 之 间 协 商 的 。 当 一 个 SA 的 协商 
完成 时 ,两 个 对 等 方 都 在 它们 的 安全 关联 数据 库 (SAD) 中 存储 有 该 SA 参数 。SA 的 参数 之 
一 是 它 的 生存 期 , 它 以 一 个 时 间 间 隔 或 者 是 IPSec 协议 利用 该 SA 来 处 理 的 一 定数 量 的 字 
节 数 的 形式 存在 。 当 一 个 SA 的 生存 期 过 期 ,要么 用 一 个 新 的 SA 来 替换 该 SA, 要 么 终止 
该 SA。 当 一 个 SA 终止 时 , 它 的 条 目 将 从 SAD 中 删除 。 

SA 由 一 个 三 元 组 唯一 地 标识 ,该 三 元 组 包含 一 个 安全 参数 索引 (SPI) ,一 个 用 于 输出 
处 理 SA 的 目的 TP 地 址 或 者 一 个 用 于 输入 处 理 SA 的 源 IP 地 址 ,以 及 一 个 特定 的 协议 (如 
AH 或 者 ESP) 。SPI 是 用 来 作为 唯一 标识 一 个 SA 而 生成 的 一 个 32 位 整数 。 它 在 AH 和 
ESP 头 中 传输 。 因 此 ,IPSec 数据 报 的 接收 方 可 以 容易 地 识别 SPI 并 利用 它 连同 源 或 者 目 
的 IP 地 址 和 协议 来 搜索 SAD, 以 确定 与 该 数据 报 相 关联 的 SA 或 者 SA R., 

隧道 就 是 把 一 个 包 封装 在 另 一 个 新 包 里 面 ,整个 源 数据 包 作为 新 包 的 载荷 部 分 ,并 在 前 
面 添加 一 个 新 的 IP 头 。 这 个 外 部 头 的 目的 地 址 通常 是 IPSec 防火 墙 、 安 全 网 关 或 路 由 器 。 
通过 隧道 技术 可 以 对 外 隐藏 内 部 数据 和 网 络 细节 。 对 IPSec 而 言 ,IP 隧道 的 直接 目标 就 是 
对 整个 IP 数据 包 提供 完全 的 保护 。IP 隧道 如 图 13.4 所 示 。 


新 IP 头 IP 头 有 效 负载 


|_ 源 下 数据 包 作为 新 人 数据 包 的 有 效 负载 | 


图 13.4 IP 隧 道 
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此 外 ,还 有 一 个 需要 说 明 的 概念 就 是 “变换 ”。 在 IPSec 中 ,一 个 变换 是 指 一 种 安全 机 制 
的 特定 实现 ,如 ESP 的 DES-CBC 实现 称 为 “DES-CBC ESP 变换 ”。 


3. 安全 关联 数据 库 

为 了 处 理 IPSec 数据 流 ,IPSec 体系 中 定义 了 两 个 数据 库 : 安全 策略 数据 库 (SPD) 和 安 
全 关联 数据 库 (SAD)。SPD 指定 了 用 于 到 达 或 者 源 自 特定 主机 或 者 网 络 的 数据 流 的 策略 。 
SAD 中 包含 有 与 当前 活动 的 SA 相关 的 参数 。 对 于 SPD 和 SAD, 都 需要 单独 的 输入 和 输 
出 数据 库 。 

IPSec 协议 要 求 在 所 有 的 通信 流 处 理 的 过 程 中 都 必须 查询 SPD, 不 管 通信 流 是 输入 还 
是 输出 。SPD 中 包含 有 一 个 策略 条 目的 有 序列 表 。 通 过 使 用 一 个 或 者 多 个 选择 符 来 确定 
每 一 个 条 目 。IPSec 当前 允许 的 选择 符 如 下 。 

(1) BAY IP 地 址 : 目的 IP 地 址 可 以 是 一 个 32 位 的 IPv4 或 者 是 一 个 128 位 的 IPv6 地 
址 。 该 地 址 可 以 是 一 个 主机 IP 地 址 广播 地 址 , 单 播 地 址 ,任意 播 地 址 .多 播 组 地 址 ` 地 址 范 
围 . 地 址 加 子 网 掩 码 或 者 是 通 配 地 址 。 目 的 IP 地址 从 AH 和 ESP 或 者 IP 头 ( 如 果 没 有 对 
数据 包 应 用 IPSec 的 话 ) 的 目的 IP 地 址 域 中 得 到 。 

(2) W IP Hak: 同 目的 IP 地 址 一 样 , 源 IP 地 址 可 以 是 一 个 32 位 的 IPv4 或 者 是 一 个 
128 位 的 IPv6 地 址 。 同 样 , 该 地 址 可 以 是 一 个 主机 IP 地 址 广播 地 址 、. 单 播 地 址 、 任 意 播 地 
址 、 多 播 组 地 址 、 地 址 范围 ,地址 加 子 网 掩 码 或 者 是 通 配 地 址 。 源 IP 地 址 从 AH 和 ESP 或 
者 了 P 头 的 源 IP 地 址 域 中 得 到 。 

(3) 传输 层 协议 : 传输 层 协议 可 以 从 IPv4 协议 或 者 IPv6 协议 的 下 一 个 头 域 中 得 到 。 

(4) 系统 名 : 系统 名 可 以 是 完整 的 DNS 名 ,或 者 E-mail 地址 ,如 bert. cs. mcgill. ca, 3È 
者 X.500 DN, 例如 ,cn 一 bert,ou 一 Compnuter Science,o 一 McGill University, st — Quebec, 
c— Canada, 

(5) 用 户 ID: 用 户 ID 可 以 是 像 foo @ cs. mcgill. ca 这 样 的 完整 的 DNS 或 者 是 
X. 500 DN. 

SPD 中 的 每 一 个 条 目 包含 有 一 个 或 者 多 个 选择 符 和 一 个 标志 ,该 标志 用 于 表明 与 条 目 
中 的 选择 符 匹配 的 数据 报 是 否 丢弃 、 是 否 进 行 IPSec 处 理 。 如 果 应 该 对 数据 包 进 行 IPSec 
处 理 , 则 条 目 中 必须 包含 有 一 个 指向 SA 内 容 的 指针 ,其 中 详细 说 明了 应 用 于 匹配 该 策略 条 
目的 数据 包 的 IPSec 协议 ,操作 模式 及 密码 算法 。 

选择 符 与 数据 通信 流 相 匹配 的 第 一 个 条 目 将 被 应 用 到 该 通信 中 。 如 果 没 有 发 现 匹 配 的 
条 目 , 考 虑 中 的 通信 数据 包 将 被 丢弃 。 因 此 ,SPD 中 的 条 目 应 该 按照 应 用 程序 所 希望 的 优 
先 关系 来 排序 。 

SPD 中 的 条 目 决 定 了 处 理 通 信 流 的 粒度 。 例 如 ,策略 可 能 规定 与 某 特定 的 SA 或 SA 
束 对 应 的 IPSec 服务 , 应 该 应 用 到 任何 源 自任 何 源 或 者 去 往 任何 目的 地 的 所 有 通信 流 , 策 
略 也 可 能 规定 应 该 基于 特定 的 选择 符 来 决定 不 同 SA 或 者 SA RADA. SPD 在 控制 通过 
一 个 IPSec 系统 的 所 有 通信 中 发 挥 着 非常 重要 的 作用 。 

SAD 中 包含 有 现行 的 SA 条 目 。 每 个 SA 由 包含 一 个 SPI. 一 个 源 或 者 目的 IP 地 址 和 
一 个 IPSec 协议 的 三 元 组 来 索引 。 此 外 ,一 个 SAD 条目 包 含有 下 面 的 域 。 

(1) 序列 号 计数 器 : 这 是 一 个 32 位 整数 ,用 于 生成 AH 或 者 ESP 头 中 的 序列 号 域 。 

(2) 序列 号 溢出 : 这 是 一 个 标志 ,标识 是 否 对 序列 号 计数 器 的 溢出 进行 审计 ,以 及 对 于 
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特定 的 SA, 是 否 阻 塞 额 外 通信 流 的 传输 。 

(3) 抗 重 放 窗口 : 使 用 一 个 32 位 计数 器 和 一 个 位 图 来 确定 一 个 输入 的 AH 或 者 ESP 
数据 包 是 否 是 一 个 重 放 包 。 

(D AH 认证 密码 算法 和 所 需要 的 密 钥 。 

(5) ESP 认证 密码 算法 和 所 需要 的 密 钥 。 

(6) ESP 加 密 算法 , 密 钥 .初始 化 向 量 (IV) 和 工作 模式 。 

(7) IPSec 协议 操作 模式 : 该 域 表明 将 对 AH 和 ESP 通信 应 用 何 种 IPSec 协议 操作 模 
式 ( 传 输 模式 、 隧 道 模 式 还 是 通 配 模式 )。 

(8) 路 径 最 大 传输 单元 (PMTU): PMTU 是 可 测量 和 可 变化 的 。PMTU 是 IP 数据 报 
经 过 一 个 特定 的 从 源 主 机 到 目的 主机 的 网 络 路 径 而 无 需 分 段 的 IP 数据 包 的 最 大 值 。 

(9) SA 的 生存 期 : 该 域 中 包含 有 一 个 时 间 间 隔 , 外 加 一 个 当 它 过 期 时 该 SA 是 被 蔡 代 
还 是 终止 的 标志 。 在 该 时 间 间 隔 内 , 某 个 SA 必须 用 一 个 新 的 SA 来 替代 或 者 终止 。SA 的 
生存 期 有 两 种 参数 形式 : 一 个 是 时 间 间 隔 形 式 , 男 一 个 是 表示 已 用 IPSec 协议 处 理 的 字 节 
数 的 字 节 计数 形式 。 如 果 这 两 种 参数 都 使 用 了 , 则 以 先 过 期 的 为 准 , 即 最 先 过 期 的 参数 
优先 。 

对 于 输入 和 输出 IPSec 处 理 要 保存 单独 的 SAD。 对 于 输入 或 者 输出 通信 ,将 搜索 各 自 
的 SAD 来 查找 与 从 数据 包头 域 中 解析 出 来 的 选择 符 相 匹配 的 SPI、 源 或 者 目的 地 址 及 
IPSec 协议 。 如 果 找 到 一 个 匹配 的 条 目 , 则 将 该 SA 的 参数 与 AH 或 ESP 头 中 的 适当 的 域 
相 比 较 。 如 果 头 域 与 数据 库 中 的 SA 参数 相 一 致 ,就 处 理 该 数据 包 。 然 而 ,如 果 有 任何 差 
别 ,就 丢弃 该 数据 包 。 如 果 没 有 SA 条 目 与 选择 符 相 匹配 ,并 且 如 果 数 据 包 是 一 个 输入 包 ， 
就 将 它 丢 弃 ; 然 而 ,如 果 数 据 包 是 输出 的 ,就 将 创建 一 个 新 的 SA 或 者 SA 束 , 并 其 将 存 人 输 
出 SAD 中 。 

SA 的 生存 期 有 两 种 类 型 的 限制 : 软 限制 和 硬 限制 。 当 达到 一 个 软 限制 时 ,通信 对 等 双 
方 必须 重新 协商 一 个 新 的 SA 来 代替 已 有 的 SA。 然 而 ,已 有 的 SA 并 不 从 数据 库 中 删除 ， 
直到 硬 限制 过 期 。 与 SPD 不 同 ,SAD 中 的 条 目 是 无 序 的 。 然 而 ,就 像 SPD 中 的 查找 一 样 ， 
在 SAD 中 找到 的 第 一 个 匹配 条 目 将 被 应 用 于 与 特定 的 SA 关联 的 数据 包 的 IPSec 处 理 。 


13.3.2 认证 头 协议 


IP 协 议 本 身 缺 乏 安全 性 。 用 来 提供 TP 数据 报 完整 性 的 认证 机 制 是 非常 初级 的 , 仅 用 
IP 头 中 的 校 验 和 域 来 保证 TP 数据 报 的 完整 性 。 设 计 认 证 头 (AH) 协 议 的 目的 是 用 来 增加 
人 PP 数据 报 的 安全 性 。AH 协议 提供 无 连接 的 完整 性 \ 数 据 起 源 认 证 和 抗 重 放 保 护 服务 。 然 
而 ,AH 不 提供 任何 机 密 性 服务 , 它 不 加 密 所 保护 的 数据 包 。AH 的 作用 是 为 IP 数据 流 提 
供 高 强度 的 密码 认证 ,以 确保 被 修改 过 的 数据 包 可 以 被 检查 出 来 。AH 使 用 消息 认证 码 
(MAC) xf IP 进行 认证 ,最 常用 的 MAC 是 HMAC, 

因为 生成 IP 数据 报 的 消息 摘要 需要 密 钥 ,所 以 IPSec 的 通信 双方 需要 有 共享 密 钥 。 这 
里 假设 : 如 果 采 用 的 密 钥 不 同 ,对 一 个 MAC 输入 指定 数据 计算 出 相同 的 消息 摘要 是 计算 
上 不 可 行 的 。 于 是 ,只 有 共享 密 钥 的 通信 双方 才 可 以 采用 预先 定义 的 MAC 对 一 个 确定 的 
消息 生成 确定 的 认证 数据 。 
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1. AH 格式 
AH 由 5 个 固定 长 度 域 和 1 个 变 长 的 认证 数据 域 组 成 。 图 13. 5 说 明了 这 些 域 在 一 个 
AH 中 的 相对 位 置 。 


TE 载荷 长 度 保留 
安全 参数 索引 (SPI) 
序列 号 域 
认证 数据 ( 变 长 ) 


图 13.5 AH 格式 


下 面 是 这 些 域 的 说 明 。 

(1) 下 一 个 头 (Next Header); 这 个 8b 的 域 指出 AH 后 的 下 一 个 载荷 的 类 型 。 例 如 ， 
如 果 AH 后 面 是 一 个 ESP 载荷 ,这 个 域 将 包含 值 50。 如 果 在 所 说 的 AH 后 面 是 另 一 个 
AH, 那 这 个 域 将 包含 值 51。RFC1700 中 包含 了 已 分 配 的 IP 协议 值 信息 。 

(2) 载荷 长 度 (Payload length) : 这 个 8b 的 域 包含 以 32b 为 单位 的 AH 的 长 度 减 2。 
为 什么 要 减 2 呢 ? AH 实际 上 是 一 个 IPv6 扩展 头 ,IPv6 规范 RFCI883 中 规定 计算 扩展 头 
长 度 时 应 首先 从 头 长 度 中 减 去 一 个 64b 的 字 。 由 于 载荷 长 度 用 32b 度量 ,两 个 32b 字 也 就 
相当 于 一 个 64b 字 , 因 此 要 从 总 认证 头 长 度 中 减 去 2。 

(3) 保留 (Reserved) : 这 个 16b 的 域 被 保留 供 将 来 使 用 。AH 规范 RFC2402 中 规定 这 
个 域 被 置 为 0。 

(4) 安全 参数 索引 (SPI) : SPI 是 一 个 32b 的 整数 ,用 于 和 源 地 址 或 目的 地 址 及 IPSec 
协议 (AH 或 ESP) 共 同 唯一 标识 一 个 数据 报 所 属 的 数据 流 的 安全 关联 (SA)。SA 是 通信 双 
方 达成 的 一 个 协定 , 它 规 定 了 采用 的 IPSec 协议 .协议 操作 模式 ,密码 算法 , 密 钥 以 及 用 来 保 
护 它们 之 间 通 信 的 密 钥 的 生存 期 。 关 于 SPI 域 的 整数 值 , 1 一 255 被 IANA (nternet 
Assigned Number Authority) 留 作 将 来 使 用 ;0 被 保留 用 于 本 地 和 具体 实现 使 用 。 所 以 说 目 
前 有 效 的 SPI 值 是 256 一 22 一 1。 

C5) 序列 号 域 (Sequence Number Field) : 这 个 域 包含 有 一 个 作为 单调 增加 的 计数 器 的 
32 位 无 符号 整数 。 当 SA 建立 时 ,发 送 者 和 接收 者 的 序列 号 值 被 初始 化 为 0。 通信 双方 每 
使 用 一 个 特定 的 SA 发 出 1 个 数据 报 就 将 它们 相应 的 序列 号 加 1。 序 列 号 用 来 防止 对 数据 
包 的 重 放 , 重 放 指 的 是 数据 报 被 攻击 者 截取 并 重新 传送 。AH 规范 强制 发 送 者 总 要 发 送 序 
列 号 到 接收 者 ;而 接收 者 可 以 选择 不 使 用 抗 重 放 特 性 ,这 时 它 不 理会 进入 的 数据 流 中 数据 报 
的 序列 号 。 如 果 接 收 端 主机 启用 抗 重 放 功能 , 它 使 用 滑动 接收 窗口 机 制 检 测 重 放 包 。 具 体 
的 滑动 窗口 因 不 同 的 IPSec 实现 而 不 同 ;然而 ,一 般 来 说 滑动 窗口 具有 以 下 功能 。 窗 口 长 度 
最 小 为 32b。 窗 口 的 右边 界 代 表 一 特定 SA 所 接收 到 的 验证 有 效 的 最 大 序列 号 。 序 列 号 小 
于 窗口 左边 界 的 包 将 被 丢弃 。 将 序列 号 值 位 于 窗口 之 内 的 数据 包 将 被 与 位 于 窗口 内 的 接收 
到 的 数据 包 相 比较 。 如 果 接 收 到 的 数据 包 的 序列 号 位 于 窗口 内 并 且 数 据 包 是 新 的 ,或 者 它 
的 序列 号 大 于 窗口 右边 界 且 小 于 27 ,那么 接收 主机 继续 处 理 计算 认证 数据 。 对 于 一 个 特定 
的 SA, 它 的 序列 号 不 能 循环 ;所 以 在 一 个 特定 的 SA 传输 的 数据 包 的 数目 达到 2° 之前, 必 
须 协商 一 个 新 的 SA 及 新 的 密 钥 。 
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(6) 认证 数据 : 这 个 变 长 域 包含 数据 报 的 认证 数据 ,该 认证 数据 被 称 为 完整 性 校 验 值 
(ICV)。 对 于 IPv4 数据 报 , 这 个 域 的 长 度 必须 是 32 的 整数 倍 ; 对 于 IPv6 数据 报 , 这 个 域 的 
长 度 必须 是 64 的 整数 倍 。 用 来 生成 ICV 的 算法 由 SA 指定 。 用 来 计算 ICV 的 可 用 的 算法 
因 IPSec 的 实现 的 不 同 而 不 同 ;然而 为 了 保证 互 操作 性 ,AH 强制 所 有 的 IPSec 实现 必须 包 
含 两 个 MAC: HMAC-MD5 和 HMAC-SHA-1。 如 果 一 个 IPv4 数据 报 的 ICV 域 的 长 度 不 
是 32 的 整数 倍 ,或 一 个 IPv6 数据 报 的 ICV 域 的 长 度 不 是 64 的 整数 倍 ,必须 添加 填充 比特 
使 ICV 域 的 长 度 达到 所 需要 的 长 度 。 


2. AH 的 操作 模式 
AH 头 的 位 置 依赖 于 AH 的 操作 模式 。AH 有 两 种 操作 模式 , 即 传输 模式 和 隧道 模式 。 
使 用 隧道 模式 时 ,AH 可 以 以 一 种 嵌 套 的 方式 来 应 用 ,也 可 以 和 ESP 组 合 使 用 或 单独 应 用 。 
在 传输 模式 中 ,AH 被 插 在 IP 头 之 后 但 在 所 有 的 传输 层 协议 之 前 ,或 所 有 其 他 IPSec 
协议 头 之 前 。 因 此 ,在 传输 模式 中 ,对 IPv4 而 言 ,AH 被 插 在 变 长 可 选 域 之 后 。 图 13. 6 说 
明了 在 传输 模式 中 AH 相对 于 其 他 IPv4 头 部 域 的 位 置 。 
应 用 AH 前 的 IPv4 头 
变 长 可 选 域 | ”传输 协议 头 | 传输 协议 数据 


应 用 AH 后 的 IPv4 头 
变 长 可 选 域 AH 传输 协议 头 | 传输 协议 数据 
— 除 可 变 域外 都 要 认证 


图 13.6 AH 在 传输 模式 中 相对 于 其 他 IPv4 头 部 域 的 位 置 


在 IPv6 的 传输 模式 中 ,AH 被 插 在 逐 跳 . 路 由 和 分 段 扩展 头 的 后 面 ; 目的 选项 扩展 头 可 
以 放 在 AH 头 的 前 面 或 后 面 。 如 果 目 的 选项 头 将 被 出 现在 IPv6 目的 地 址 域 的 第 一 个 目的 
主机 以 及 其 后 的 路 由 头 中 列 出 的 目的 主机 列表 处 理 , 它 应 该 紧 接 在 逐 跳 头 之 后 处 理 , 因 此 最 
终 要 放 在 AH 之 前 。 可 是 ,如 果 它 仅 被 目的 主机 处 理 , 它 应 该 放 在 AH 之 后 。 图 13. 7 说 明 
了 在 传输 模式 中 ,AH 头 相对 于 其 他 IPv6 扩展 头 的 位 置 。 


应 用 AH 前 的 IPv6 头 


MAPA | 扩展 头 (车 存在 ) | 传输 协议 头 | IER 


应 用 AH 后 的 IPv6 头 


mE NT auus | fh 
UST | 以 及 目的 * 扩 展 头 | AM | 传输 协议 关 | 协议 数据 


除 可 变 域外 都 要 认证 
* 若 存在 ,可 在 AH 之前、 之 后 或 同时 在 AH 之 前 和 之 后 
图 13.7 传输 模式 下 AH 相对 于 其 他 IPv6 扩展 头 的 位 置 


在 隧道 模式 中 ,AH 插 在 原始 的 IP 头 之 前 ,另外 生成 一 个 新 的 IP 头 放 在 AH 之 前 。 在 
13. 8 中 针对 IPv4 数据 报 对 这 一 点 进行 了 图 解 。 在 IPv6 数据 报 中 ,除了 新 的 IP 头 外 , 原 
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来 数据 报 的 扩展 头 也 被 插 在 AH 前面。 图 13. 9 中 说 明了 IPv6 数据 报 的 这 些 信息 。 
应 用 AH 前 的 IPv4 头 
变 长 可 选 域 | 传输 协议 头 | 传输 协议 数据 


应 用 AH 后 的 IPv4 头 


F IP KHY 


PUR) | AH | TERRI | 传输 协议 头 | 传输 协议 数据 


可 选 域 
除了 新 IP 头 中 的 可 变 域 都 要 认证 
图 13.8 隧道 模式 下 AH 相对 于 其 他 IPv4 头 的 位 置 


应 用 AH 前 的 IPv6 头 


WAIPA | 扩展 头 (车 存在 ) | 传输 协议 头 | e 


应 用 AH 后 的 IPv6 头 


ELT METUENTES 
UP | (着 存在 ) | AH | 原始 四 头 | ( 若 存在 ) | 协议 头 | 协议 数据 


除了 新 IP 头 中 的 可 变 域 都 要 认证 一 一 一 一 一 一 一 ~ 
图 13.9 隧道 模式 下 AH 相对 于 其 他 IPv6 扩展 头 的 位 置 


3. 完整 性 校 验 值 的 计算 

完整 性 校 验 值 (ICV) 是 AH 或 ESP 用 来 验证 IP 数据 报 的 完整 性 所 用 的 验证 数据 。 数 
据 包 的 ICV 是 用 MAC 生成 的 。 在 MAC 的 生成 中 , 密 钥 是 必需 的 。IPSec 的 通信 各 方 必须 
能 够 产生 ICV 来 校 验 交 互 的 数据 报 的 完整 性 ,因此 ,通信 双方 需要 共享 的 密 钥 。 在 IPSec 
通信 双方 通信 之 前 ,它们 需要 协商 一 个 SA。SA 是 通信 双方 关于 参数 选择 的 一 个 协议 ,这 
些 参数 包括 用 来 认证 或 加 密 (对 ESP 而 言 ) 数 据 流 的 密码 算法 .指定 密码 算法 使 用 的 密 钥 、 
IPSec 协议 (AH 或 ESP) ,协议 的 操作 模式 及 SA 的 生命 期 。 

当 通 信 双 方 建立 了 一 个 SA 后 ,它们 就 有 了 所 有 用 来 计算 它们 交换 的 数据 报 的 ICV 值 
的 参数 。ICV 的 计算 涉及 整个 IP 头 , 然 而 有 些 域 在 从 源 到 目的 的 传输 过 程 中 可 能 会 改变 ， 
所 以 在 计算 ICV 时 将 这 些 域 设 为 0。 下 面 分 别 说 明 IPv4 和 IPv6 数据 包头 的 可 变 域 和 不 
变 域 。 

IPv4 头 的 可 变 域 如 下 。 

(1) 服务 类 型 (Type of Service) : 8b 的 服务 类 型 (TOS) 域 表明 了 数据 报 所 属 数据 流 的 
需求 ,这 个 需求 是 针对 延迟 、 吞 吐 量 和 可 靠 性 的 组 合 而 言 的 。IP 协议 并 不 认为 这 个 域 是 可 
变 的 ,但 IPSec 将 它 作 为 可 变 域 对 待 ,因为 现 有 的 一 些 路 由 器 会 改变 这 些 域 。 

(2) 标志 (FLAGS): IP 头 中 有 3 个 标志 位 。 第 一 个 是 DF( 不 可 分 段 ) 位 , 当 这 个 位 被 
设置 时 表明 不 允许 对 数据 报 分 段 。 第 二 个 是 MF (更 多 分 段 ) 位 , 当 这 个 位 为 0 时 表明 数据 
包 的 最 后 一 个 数据 分 段 到 达 。 第 三 个 被 留 作 将 来 使 用 。ICYV 的 计算 不 包括 这 个 域 ,因为 即 
使 数据 源 没有 设置 这 个 位 ,中 间 的 路 由 器 也 可 能 设置 DF 位 。 
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(3) 分 段 偏 移 量 (Fragment Offset): 这 个 13b 的 域 表 明 一 个 分 段 在 它 所 属 的 数据 报 中 
的 位 置 。AH 仅 应 用 于 非 分 段 的 IP 包 ,所 以 在 计算 ICV 之 前 ,必须 将 这 个 域 设 为 0。 

(4) TTL: 这 个 8b 的 域 被 用 来 限制 一 个 数据 报 的 生命 期 ,因此 可 以 防止 数据 报 在 一 个 
网 段 中 无 限 循环 。 数据 报 在 经 过 每 个 路 由 器 时 , 它 的 TTL 值 都 被 路 由 器 减 小 。 目 的 主机 
无 法 预计 TTL 值 ,所 以 这 个 域 被 排除 在 ICV 的 计算 之 外 。 

(5) 头 校 验 值 (Header Checksum); 这 个 16b 的 域 保存 IP 头 的 校 验 和 。 如 果 IP 头 的 
任 一 个 域 发 生 了 变化 , 校 验 和 的 值 也 会 变化 ,所 以 在 计算 ICV 之 前 ,必须 将 这 个 域 设 为 0。 

(6) 可 选项 (Options): 这 个 变 长 域 存放 数据 包 的 可 选 信息 ,比如 安全 性 和 处 理 限 制 。 
这 个 域 很 少 被 使 用 ,并 且 被 大 多 数 的 路 由 器 忽略 。 所 以 大 部 分 的 IPSec 实现 在 计算 ICV 时 
都 不 包含 可 选项 。 

IPv4 头 的 不 变 域 如 下 。 

CD 版 本 (Version) 。 

(2) 头 长 度 (IHL)。 

(3) 总 长 度 (Total Length) 。 

(4) 标识 (Identification) 。 

(5) 协议 (Protocol) 。 

(6) 源 地 址 (Source Address) 。 

(7) 目的 地 址 (Destination Address), 

(8) 数据 (Data) (被 封装 的 传输 协议 头 和 数据 ) 。 

IPv6 头 的 可 变 域 如 下 。 

CL) RIR (Priority): 这 个 4b 的 域 表 明 一 个 数据 包 要 求 的 服务 质量 。 这 个 域 可 能 会 
被 中 间 的 路 由 器 改变 ,所 以 它 没有 被 包含 在 ICV 的 计算 中 。 

(2) 流标 签 (Flow label): 这 个 24b 的 域 是 一 个 实验 性 的 域 。 大 多 数 应 用 忽略 它 ,最 终 
IPSec 强制 在 计算 ICV 值 之 前 将 其 设 为 0。 

(3) 跳 数 限制 (Hop limit): 这 个 跳 数 限制 域 和 IPv4 的 TTL 域 相同 。 它 在 经 过 每 个 路 
由 器 时 都 被 减 1。 

逐 跳 和 目的 选项 扩展 头 中 包含 1b. 用 来 表明 这 个 选项 在 传输 过 程 中 是 否 可 能 发 生变 
化 。 可 以 通过 设置 和 取消 这 些 比特 来 指定 这 些 扩展 头 可 变 还 是 不 可 变 。 逐 跳 扩 展 头 用 来 携 
带 可 选 的 路 由 信息 ,数据 报 从 源 到 目的 沿途 的 每 个 节点 都 必须 检查 这 些 信息 。 目 的 选项 扩 
展 头 携带 仅 需 由 目的 节点 检查 的 可 选 信息 。 

IPv6 头 的 不 变 域 如 下 。 

CD 版 本 (Version) 。 

(2) 载荷 长 度 (Payload Length) 。 

(3) 下 一 个 头 (Next Header). 

(4) 源 地 址 (Source Address) 。 

(5) 目的 地 址 (Destination Address) 。 

路 由 扩展 头 有 可 变 但 可 预测 的 特性 。IPv6 数据 源 用 这 个 扩展 头 列 出 数据 包 从 源 到 目 
的 途径 中 的 一 个 或 多 个 网 关 。 路 由 扩展 头 中 的 地 址 域 可 能 在 传输 中 被 重 排 ; 然 而 数据 包 在 
目的 主机 时 的 内 容 的 形式 对 发 送 者 和 中 间 节 点 而 言 却 是 已 知 的 。 所 以 ,可 以 由 发 送 者 排列 
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地 址 域 使 其 和 发 送 到 目的 地 时 相同 。 因 此 是 在 计算 ICV 时 包含 了 这 个 扩展 头 。 

如 果 有 分 段 扩展 头 的 话 , 它 对 IPSec 而 言 是 不 可 见 的 ,因为 它 在 外 出 的 IPSec 处 理 后 才 
出 现 ;而 重组 工作 在 进入 IPSec 处 理 之 前 进行 。 所 以 ,在 计算 ICV 时 这 个 扩展 头 不 予 考虑 。 

JE IP 的 可 变 域 和 IPv6 可 变 扩 展 头 设 为 0 后 ,整个 全数 据 报 以 一 个 比特 串 的 形式 作为 
MAC 的 输入 。MAC 采用 指定 的 密 钥 生成 ICV。 值 得 注意 的 是 ,在 隧道 模式 中 ,内 部 IP 头 
的 可 变 域 未 被 设 为 0, 因 为 只 有 外 部 IP 头 的 可 变 域 才 可 能 在 传输 过 程 中 被 修改 。 

ICV 的 长 度 依赖 于 使 用 的 MAC 算法 。 例 如 ,对 于 HMAC-MD5 ,ICV 是 128b; 而 对 于 
HMAC-SHA1,ICV 是 160b, 

如 果 一 个 MAC 算法 生成 的 IPv4 数据 报 的 ICV 长 度 不 是 32 的 整数 倍 , 或 生成 的 IPv6 
数据 报 的 ICV 长 度 不 是 64 的 整数 倍 , 则 需要 增加 填充 比特 ,使 ICV 达到 32(IPv4) 或 
64(IPv6) 的 整数 倍 。 

计算 出 ICV( 有 必要 的 话 还 得 对 它 进行 填充 ) 之 后 ,把 它 放 在 认证 数据 域 中 ,然后 数据 报 
将 被 发 送 到 目的 地 址 。 


4. AH 的 处 理 

虽然 处 理 AH 数据 流 的 一 些 具体 细节 可 能 与 IPSec 的 具体 实现 有 关 , 但 对 AH 的 规范 
而 言 , 每 个 实现 都 应 该 遵循 一 些 共同 的 东西 。 

CD 外 出 处 理 

当 一 个 IPSec 实现 从 IP. 协议 栈 中 收 到 外 出 的 数据 包 , 它 使 用 相应 的 选择 符 ( 目 的 TP 地 
址 、 端 口 和 传输 协议 等 ) 来 查找 安全 策略 库 (SPD) ,并 确认 对 数据 流 应 用 怎样 的 策略 。 如 果 
需要 对 数据 包 进行 IPSec 处 理 , 并 且 到 目的 主机 的 一 个 SA 或 SA 束 已 经 建立 ,那么 符合 数 
据 包 选择 符 的 SPD 将 指向 外 出 SA 数据 库 的 一 个 相应 的 SA R. WMR SA 还 未 建立 ,IPSec 
的 实现 将 调用 IKE 协商 一 个 SA, 并 将 其 连接 到 SPD 条 目 上 ,然后 SA 用 于 以 下 数据 包 的 
处 理 。 

QD 产生 或 增加 序列 号 值 : 序列 号 用 来 防止 以 前 发 送 过 的 包 的 重 放 。 当 一 个 新 的 SA 建 
立时 ,发 送 者 将 序列 号 计数 器 初始 化 为 0。 发 送 者 每 发 送 一 个 包 , 它 就 将 序列 号 加 1 并 将 结 
果 插 入 AH 头 中 的 序列 号 域 。 

© 如 前 所 述 计算 ICV. 

@ 转发 数据 包 到 目的 地 。 

(2) 进入 处 理 

当 一 个 设置 了 MF 位 的 数据 报到 达 一 个 IPSec 目的 节点 时 ,这 表明 其 他 的 分 段 还 没有 
到 达 。IPSec 应 用 等 待 直到 一 个 有 着 相同 序列 号 但 MF 位 未 设置 的 分 段 到 达 。IP 分 段 重组 
之 后 要 进行 以 下 步 又 的 操作 。 

CD 使 用 下 头 (如 果 在 隧道 模式 下 是 外 层 IP 头 ) 中 的 SPI, B fj IP 地 址 及 IPSec 协议 ， 
在 进入 的 SA 数据 库 中 查找 数据 包 所 属 数据 流 的 SA。 如 果 查 找 失 败 , 它 将 抛弃 该 数据 包 并 
记录 事件 。 记 录 日 志 的 总 信息 量 通常 取决 于 IPSec 的 具体 实现 。 然 而 , 至少 应 该 记录 抛弃 
数据 包 的 时 间 、 源 节点 的 IP 地 址 和 抛弃 的 原因 。 

© 使 用 第 中 步 中 查找 到 的 SA 进行 IPSec 处理 。 首 先 要 确定 IP 头 (隧道 模式 中 是 内 部 
头 ) 中 的 选择 符 和 SA 中 的 选择 符 是 否 匹配 。 如 果 选 择 符 不 匹配 ,应 用 将 抛弃 数据 包 并 审计 
事件 。 如 果 选 择 符 匹 配 ,IPSec 应 用 跟踪 SA 以 及 它 相 对 于 其 他 的 SA 应 用 的 顺序 ,并 重复 
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© .@ 步 直到 遇 到 传输 层 协议 ,或 一 个 非 IPSec 扩展 头 (对 IPv6 而 言 ) 。 

@ 使 用 数据 包 中 的 选择 符 在 进入 SPD 中 查找 一 条 与 选择 符 匹配 的 策略 。 

图 检查 步骤 @ Ope SIR SA 是 否 和 步骤 @ 中 查找 到 的 策略 匹配 。 如 果 匹 配 失败 ， 
重复 @、@ 步 直到 处 理 完 所 有 的 策略 条 目 , 或 直到 匹配 成 功 。 

@ 如 果 启 用 了 抗 重 放 的 功能 ,如 前 面 章节 所 说 的 那样 ,使 用 SA 的 抗 重 放 窗 口 检查 数 
据 包 是 否 是 重 放 包 。 如 果 是 重 放 包 , 则 抛弃 它 并 审计 事件 。 

@ 使 用 SA 指定 的 MAC 算法 计算 数据 包 的 ICV ,并 将 它 和 认证 数据 域 中 的 值 相 比 较 。 
如 果 两 个 值 不 同 , 则 抛弃 数据 包 并 审计 事件 。 

在 这 些 步骤 之 后 ,如 果 数 据 包 未 被 抛弃 , 它 将 被 发 送 到 IP. 协议 栈 的 传输 层 或 转发 到 指 
定 的 节点 。 


13.3.3 封装 安全 载荷 协议 


与 认证 头 (AH) 协 议 一 样 ,设计 封装 安全 载荷 (ESP) 协 议 的 目的 也 是 为 了 提高 Internet 
协议 (IP) 的 安全 性 。ESP 提供 数据 机 密 性 \ 数 据 源 认 证 、 无 连接 完整 性 、 抗 重 放 攻 击 和 有 限 
的 数据 流 机 密 性 等 服务 。 实 际 上 ,ESP 提供 的 服务 和 AH 的 类 似 , 但 增加 了 两 个 额外 的 服 
务 : 数据 机 密 性 服务 和 有 限 的 数据 流 机 密 性 服务 。 数 据 机 密 性 服务 通过 使 用 密码 算法 加 密 
IP 数据 报 的 相关 部 分 来 实现 。 数 据 流 机 密 性 服务 由 隧道 模式 下 的 机 密 性 服务 提供 。 

ESP 中 用 来 加 密 数 据 报 的 密码 算法 都 毫 无 例外 地 使 用 对 称 密码 算法 。 公 钥 密 码 算 法 
涉及 计算 量 非常 大 的 大 整数 模 指数 运算 ,大 整数 的 规模 超过 300 位 十 进 制 数字 。 而 对 称 密 
码 算法 主要 使 用 初级 的 操作 ( 异 或 . 逐 位 与 位 循环 等 ) ,无 论 以 软件 还 是 硬件 方式 执行 都 非 
常 有 效 。 所 以 相对 公 钥 密码 算法 而 言 ,对称 密码 算法 的 加 、 解 密 吞 吐 量 要 大 得 多 。 

ESP 通过 使 用 消息 认证 码 (MAC) 提 供认 证 服务 。 对 于 加 密 和 认证 算法 的 选择 , 因 
IPSec 的 实现 不 同 而 不 同 ;然而 为 了 保证 互 操作 性 ,ESP 规范 RFC2406 中 规定 了 每 个 IPSec 
实现 要 强制 实现 的 算法 。 在 撰写 规范 时 ,强制 实现 的 加 密 算法 是 DES 的 CBC 模式 和 null 
加 密 算法 ,而 认证 算法 是 HMAC-MD5, HMAC-SHA-1 和 null 认证 算法 。null 加 密 和 null 
认证 算法 分 别 是 不 加 密 和 不 认证 选项 。null 算法 选项 是 强制 实现 的 ,因为 ESP 加 密 和 认证 
服务 是 可 选 的 。 然 而 ,值得 注意 的 是 ,null 加 密 和 null 认证 算法 不 可 以 同时 使 用 。 换 句 话 
讲 , 如 果 采 用 了 ESP ,或 者 要 用 到 加 密 , 或 者 要 用 到 认证 ,或 者 同时 使 用 。DES 是 个 弱 加 密 
算法 ,很 少 用 于 VPN 解决 方案 。 人 们 希望 可 以 在 修订 RFC2406 时 用 AES 代替 DES 作为 
强制 实现 的 算法 。 其 他 常用 的 算法 是 CAST-128 和 IDEA。 

ESP 可 以 单独 应 用 或 以 嵌 套 的 方式 使 用 ,也 可 以 和 AH 结合 使 用 。 


1. ESP 数据 包 格 式 

ESP 数据 包 由 4 个 固定 长 度 的 域 和 3 个 变 长 域 组 成 。 这 个 协议 的 包 格 式 如 图 13. 10 所 
示 。 有 关 域 的 描述 如 下 。 

COD 安全 参数 索引 (SPD : SPI 是 一 个 32b 的 整数 , 它 同 源 地 址 目的 地 址 和 IPSec 协议 
(ESP 和 AH) 结合 起 来 唯一 标识 数据 报 所 属 的 数据 流 的 安全 关联 (SA)。SA 是 通信 双方 关 
于 一 些 实体 的 一 个 协议 ,如 用 来 提供 ESP 机 密 性 服务 的 加 密 算 法 、 认 证 算法 、 密 钥 .IPSec 协 
议 操作 模式 和 SA 的 生存 期 。 关 于 SPI 域 的 整数 值 ,1 一 255 被 IANA 留 作 将 来 使 用 ;0 被 保 
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32 安 全 参数 索引 (SPD) | 
32b 序列 号 EI 
r ES 
E: 变 长 载荷 数据 ZH 
m4 El 
[4 0~255B 填 充 字 节 = 
=% | 填充 长 度 | 下 -个头 | 1 
Z 变 长 认证 数据 T4 
图 13.10 ESP 的 数据 包 格式 
留用 于 本 地 和 具体 实现 使 用 。 所 以 说 目前 有 效 的 SPI 值 是 256 一 (22 一 1)。 这 个 域 和 AH 


的 SPIE. 

(2) 序列 号 域 (Sequence Number Field): 与 AH 的 情况 类 似 , 这 个 域 包 含 着 一 个 作为 
单调 增加 的 计数 器 的 32b 无 符号 整数 。 当 SA 建立 时 ,发 送 者 和 接收 者 的 序列 号 值 被 初始 
化 为 0。 对 一 个 特定 的 SA, 双 方 每 发 出 一 个 数据 包 就 将 它们 的 序列 号 增加 1。 序 列 号 用 来 
防止 数据 报 的 重 放 。 对 一 个 特定 的 SA, 它 的 序列 号 不 能 循环 ,所 以 ,在 一 个 特定 的 SA 传输 
的 数据 包 的 数量 达到 2*” 之 前 ,必须 协商 一 个 新 的 SA 及 新 的 密 钥 。 规 范 强制 发 送 者 总 要 发 
送 序列 号 到 接收 者 ;而 接收 者 可 以 选择 不 使 用 抗 重 放 特 性 ,这 时 它 不 理会 进入 的 数据 流 中 数 
据 报 的 序列 号 。 如 果 接 收 端 主机 启用 抗 重 放 功 能 , 它 使 用 滑动 接收 窗口 机 制 检测 重 放 包 。 
具体 的 滑动 窗口 因 不 同 的 IPSec 实现 而 不 同 ;然而 一 般 来 说 ,滑动 窗口 具有 以 下 所 述 的 功 
fE. 窗口 最 小 为 32b。 窗 口 的 右边 界 代 表 一 特定 SA 所 接收 到 的 经 验证 有 效 的 最 大 序列 号 。 
将 序列 号 值 位 于 窗口 之 内 的 数据 包 与 位 于 窗口 内 的 接收 到 的 数据 包 相 比较 。 如 果 接 收 到 的 
数据 包 的 序列 号 位 于 窗口 内 并 且 数 据 包 是 新 的 ,或 者 它 的 序列 号 大 于 窗口 右边 界 且 小 于 
2”, 那 么 接收 主机 继续 处 理 计算 认证 数据 。 不 然 的 话 将 抛弃 数据 包 并 审计 事件 。 

(3) 载荷 数据 (Payload Data) : 这 是 一 个 变 长 域 。 如 果 使 用 机 密 性 服务 的 话 , 其 中 就 包 
含有 实际 的 载荷 数据 (就 是 说 ,数据 报 加 密 部 分 的 密 文 ) 。 这 个 域 是 必须 有 的 ,不 管 涉及 的 
SA 是 否 需 要 机 密 性 服务 。 如 果 采 用 的 加 密 算法 需要 初始 化 向 量 (IV), 它 将 在 载荷 域 中 传 
输 , 并 且 算 法 的 规范 要 指明 IV 的 长 度 和 它 在 载荷 数据 域 中 的 位 置 。IV 用 于 某 种 分 组 密码 
的 工作 模式 以 确保 前 一 部 分 相似 的 明文 (如 IP 数据 报头 ) 生 成 不 同 的 密 文 。 载 荷 数据 域 的 
长 度 以 bit 为 单位 并 且 必 须 是 8 的 整数 倍 。 

(4) 填充 (Padding) : 如 果 有 的 话 ,这 个 域 包含 着 填充 比特 ,由 加 密 算法 使 用 或 用 于 使 填 
充 长 度 域 和 4B 字 中 的 第 3 个 字 节 对 齐 ( 见 图 13. 10) 。 这 个 域 的 长 度 是 0 一 255B。 

(5) 填充 长 度 (Pad length); 填充 长 度 是 一 个 8b 的 域 ,表明 填充 域 中 填充 比特 的 长 度 。 
这 个 域 的 有 效 值 是 0 一 255 间 的 整数 。 

(6) 下 一 个 头 (Next Header): 这 个 8b 的 域 表 明 载 荷 中 封装 的 数据 类 型 。 可 能 是 一 个 
IPv6 扩展 头 或 一 个 传输 层 协议 。 例 如 , 值 6 表明 载荷 中 封装 的 是 TCP 数据 。IANA 是 一 
个 负责 分 配 IP 协议 值 的 组 织 。IANA 的 主页 是 http://www. iana. org。 

(7) 认证 数据 (Authentication Data): 这 个 变 长 域 中 存放 ICV, 如 图 13. 10 所 示 , 它 是 
对 除 认证 数据 域外 的 ESP 包 计算 出 来 的 。 这 个 域 的 实际 长 度 取 决 于 使 用 的 认证 算法 , 例 
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如 ,如 果 使 用 HHMAC-MD5, 则 认证 数据 域 是 128b; 如 果 使 用 HMAC-SHA-1, 则 为 160b。 
认证 数据 域 是 可 选 的 , 仅 当 指定 的 SA BER ESP 认证 服务 时 才 包 含 它 。 


2. ESP 的 操作 模式 

与 AH 的 情况 一 样 ,ESP 在 数据 包 中 的 位 置 取决 于 ESP 的 操作 模式 。ESP 共有 两 种 操 
作 模 式 , 即 传输 模式 和 隧道 模式 。 

在 传输 模式 下 ,ESP 被 插 在 IP 头 和 所 有 的 选项 之 后 ,但 在 传输 层 协议 之 前 ,或 者 在 已 应 
用 的 任意 IPSec 协议 之 前 。 所 以 ,在 IPv4 传输 模式 下 ,ESP 被 插 在 变 长 选项 域 之 后 。 
图 13. 11 显示 了 ESP 在 传输 模式 中 相对 于 其 他 头 部 域 的 位 置 。 图 中 ,ESP 的 头 部 域 由 SPI 
和 序列 号 域 组 成 ,而 ESP 尾部 由 填充 域 .填充 长 度 域 和 下 一 个 头 域 组 成 。 图 中 标明 了 数据 
报 被 加 密 和 认证 的 部 分 。 如 果 需 要 机 密 性 服务 ,SPI 和 序列 号 域 不 被 加 密 , 因 为 接收 节点 需 
要 这 些 域 来 标志 用 来 处 理 数据 报 的 SA, 另 外 如 果 启 动 了 抗 重 放 服 务 , 它 们 还 被 用 来 检验 重 
放 数 据 包 。 类 似 地 ,如 果 有 认证 数据 域 , 那 它 不 被 加 密 ,因为 如 果 某 个 SA 需要 ESP 认证 服 
务 , 目 的 主机 在 处 理 这 个 数据 报 之 前 首先 用 这 个 域 来 验证 数据 报 的 完整 性 。 


应 用 ESP 前 的 IPv4 头 
变 长 可 选 域 传输 协议 头 | 传输 协议 数据 


应 用 ESP 后 的 IPv4 头 
变 长 可 选 域 | ESP 头 | 传输 协议 头 | 传输 协议 数据 | ESP 尾 | ESP 认 证 数据 
- 要 加 密 - 一 
H 要 认证 - 
图 13.11 传输 模式 下 ESP 相对 于 其 他 IPv4 头 的 位 置 


对 于 IPv6 数据 报 ,ESP 被 插 在 逐 跳 .路 由 和 分 段 扩展 头 之 后 ,目的 选项 扩展 头 可 以 放 在 
ESP 头 的 前 边 或 后 边 。 如 果 目 标 选 项 头 被 IPv6 目标 地 址 域 的 第 一 个 目的 主机 以 及 由 路 由 
头 列 出 的 相继 的 目的 主机 处 理 , 那 目标 选项 头 将 放 在 ESP 之 前 。 然 而 ,如 果 它 仅 被 目的 节 
点 处 理 , 它 可 以 放 在 ESP 之 后 。 图 13. 12 说 明了 在 传输 操作 模式 下 ,ESP 相对 于 其 他 IPv6 
扩展 头 的 位 置 。 


应 用 ESP 前 的 IPv6 头 
原始 IP 头 | 扩展 头 ( 若 存在 ) | 传输 协议 头 | 传输 协议 数据 


应 用 ESP 后 的 IPv6 头 


iit | 过 此 -路 由 以 及 分 段 | csp y | 传输 ”传输 ESP i 
包头 | 和 目的 * 扩 展 头 “| PSP | 协议 头 | 协议 数据 | ESP 尾 数据 
要 加 密 
- 要 认证 - 


* 若 存在 ,可 在 ESP Z iij. ZS te ESP 之 前 和 之 后 
图 13.12 在 传输 模式 下 ESP 相对 于 其 他 IPv6 扩展 头 的 位 置 


关于 ESP 认证 服务 有 一 点 需要 强调 的 是 ,与 AH 不 同 ,ESP 不 对 整个 IP 数据 报 进行 认 
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证 。 使 用 私有 IP 地 址 (通过 Internet) 或 位 于 安全 网 关 之 后 的 主机 间 的 通信 可 被 ESP 认证 
服务 保护 ,因为 IP 头 中 的 源 和 目的 以 及 其 他 的 域 未 被 认证 。 于 是 ,NAT(Network Address 
Translation) 和 安全 网 关 可 以 改变 数据 报 相应 的 IP 头 的 域 。 并 且 如 果 修改 之 后 的 头 部 校 验 
和 计算 正确 且 ESP 头 部 未 被 修改 ,目的 节点 将 成 功 认证 数据 报 。 

然而 ,ESP 提供 的 这 种 灵活 性 导致 了 它 的 弱点 。 除 了 ESP 头 部 外 ,在 从 源 到 目的 的 传 
输 过 程 中 IP 头 的 任何 域 都 可 以 被 修改 ,如 果 修 改 后 头 部 校 验 和 计算 正确 (如 果 涉 及 的 SA 
只 使 用 ESP 认证 和 加 密 服务 ) ,目的 主机 将 无 法 检测 到 修改 。 这 样 ,ESP 传输 模式 下 认证 服 
务 所 提供 的 安全 性 就 不 如 AH 传输 模式 。 所 以 ,需要 更 高 安全 级 并 且 通 信 双 方 使 用 公开 IP 
地 址 时 ,应 该 采用 AH 认证 服务 或 者 采用 AH 认证 服务 和 ESP 认证 服务 结合 。 

需要 提 到 的 一 点 是 ,传输 模式 下 的 ESP 不 提供 数据 流 机 密 性 服务 ,因为 源 和 目的 TP 地 
址 未 被 加 密 。 

在 隧道 模式 下 ,ESP 被 插 在 原始 IP 头 之 前 ,并 且 生 成 一 个 新 的 IP 头 并 将 其 插 在 ESP 
之 前 。 在 图 13. 13 中 对 IPv4 下 的 情况 进行 了 说 明 。 对 IPv6 数据 报 而 言 , 除 了 新 的 IP 头 ， 
原始 IPv6 数据 报 中 的 扩展 头 也 被 插 在 ESP 头 之 前 。 图 13. 14 说 明了 IPv6 下 的 情况 。 内 
部 下 头 中 包括 真正 的 源 地 址 (生成 数据 包 的 节点 ) 和 最 终 目的 地 址 。 外 部 的 源 及 目的 IP 头 
域 分 别 包含 源 及 目的 节点 的 安全 网 关 。 所 以 ,内 、 外 部 IP 头 的 源 地 址 可 能 不 同 ,目的 地 址 也 
可 能 不 同 。 

应 用 ESP 前 的 IPv4 头 
变 长 可 选 域 传输 协议 头 传输 协议 数据 


应 用 ESP 后 的 IPv4 头 


新 IP 头 y | 原始 IP 头 | we vs | 传输 协议 ,| ESP 认 证 
wp | ESP 头 可 选 域 传输 协议 头 数据 ”| ESP 尾 | 数据 
- 要 加 密 - 

= 要 认证 = 


图 13. 13 隧道 模式 下 ESP 相对 于 IPv4 头 的 位 置 


应 用 ESP 前 的 IPv6 头 
原始 由头 “| 扩展 头 ( 若 存在 ) | 传输 协议 头 | 传输 协议 数据 


应 用 ESP 后 的 IPv6 头 


y| 扩展 头 Espy | 原始 | rms | 传输 | tem ESP 认 证 
IPA) ( 若 存在 ) esp | IP. | ( 若 存在 ) | 协议 头 | 协议 数据 | "€ | 数据 
- 要 加 密 + 
- 要 认证 - 


图 13.14 隧道 模式 下 ESP 相对 于 其 他 IPv6 扩展 头 的 位 置 


与 传输 模式 的 情况 一 样 ,ESP 头 部 域 由 SPI 和 序列 号 域 组 成 ,而 ESP 尾部 域 由 填充 域 、 
填充 长 度 域 和 下 一 个 头 域 组 成 。IPv4 和 IPv6 数据 报 需 要 加 密 和 认证 部 分 在 图 13. 13 和 
13. 14 中 分 别 说 明 ESP 头 部 和 尾部 域 未 被 加 密 , 因 为 这 些 域 中 包含 一 些 信 息 , 目 的 节点 
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需要 利用 这 些 信息 查找 用 于 处 理 数据 报 所 属 的 数据 流 的 SA, 或 者 在 加 密 之 前 处 理 数据 报 
时 需要 这 些 信息 。 

对 于 隧道 模式 的 认证 和 机 密 性 服务 ,要 对 整个 内 部 IP 头 进行 认证 和 加 密 。 而 外 部 IP 
头 既 未 被 认证 也 未 被 加 密 。 

有 一 点 非常 重要 ,ESP 隧道 模式 认证 和 加 密 服务 所 提供 的 安全 性 要 强 于 ESP 传输 模 
式 ; 因 为 不 像 后 者 那样 ,前 者 认证 和 加 密 原始 的 IP 头 。 而 隧道 模式 服务 将 比 传输 模式 服务 
占用 更 多 的 带宽 ,因为 隧道 模式 在 保护 的 数据 报 中 插入 了 一 个 额外 的 IP 头 。 所 以 如 果 带 宽 
利用 率 非常 重要 的 话 , 传 输 模式 可 能 是 更 合适 的 选择 。 

尽管 理论 上 ESP 隧道 模式 认证 提供 的 安全 性 不 如 AH 传输 模式 或 隧道 模式 的 安全 性 
(因为 它 不 认证 外 部 IP 头 ) 高 ,但 它 提供 的 安全 性 已 经 足够 ,因为 用 来 处 理 数据 包 的 信息 是 
在 内 部 IP 头 中 。 

同样 值得 注意 的 一 点 是 ,ESP 隧道 模式 的 机 密 性 服务 ,特别 是 在 安全 网 关上 实现 时 , 它 
可 以 提供 数据 流 机 密 性 服务 ,因为 包含 IP 数据 包 源 地 址 的 内 部 IP 头 被 加 密 了 。 


3. ESP 的 处 理 

处 理 ESP 的 过 程 如 下 。 

COD 外 出 处 理 

当 一 个 IPSec 实现 接收 到 一 个 外 出 的 数据 包 , 它 使 用 相应 的 选择 符 ( 目 的 IP 地 址 和 端 
E ,传输 协议 等 ) 查 找 安 全 策略 库 (SPD) 并 且 确 认 哪 些 策略 适用 于 数据 流 。 如 果 需 要 IPSec 
处 理 并 且 一 个 SA 或 SA 束 已 建立 ,与 数据 包 选 择 符 相 匹配 的 SPD 项 将 指向 安全 关联 库 
(SAD) 中 的 相应 SA。 如 果 SA 还 未 建立 ,IPSec 的 实现 将 使 用 IKE(Internet 密 钥 交换 ) 协 
议 协商 一 个 SA 并 将 其 链接 到 SPD 项 。 接 下 来 SA 将 被 用 于 进行 下 面 的 数据 包 的 处 理 。 

QD 生成 或 增加 序列 号 : 序列 号 用 于 防止 以 前 发 送 过 的 数据 包 的 重 放 。 当 建立 一 个 新 
的 SA 时 ,发 送 者 将 其 序列 号 计数 器 初始 化 为 0。 发 送 者 每 发 送 一 个 数据 包 , 它 将 序列 号 加 
1 并 将 序列 号 计数 器 的 结果 值 插入 ESP 包 的 序列 号 域 。 

Q 加 密 数 据 包 : 如 果 传 输 需 要 保密 服务 ,SA 将 指明 使 用 的 加 密 算法 。 可 用 的 加 密 算 
法 依赖 于 IPSec 的 实现 ,但 是 如 前 所 述 ,目前 仅 使 用 了 对 称 密码 系统 。 因 为 相对 于 对 称 密码 
系统 , 公 钥 密码 系统 处 理 速度 较 慢 。 当 加 密 算法 需要 初始 化 向 量 (IV) 时 ,就 像 DES 的 CBC 
模式 那样 ,初始 化 向 量 放 在 载荷 数据 域 的 前 几 个 比特 。 当 需要 加 密 服 务 时 ,在 计算 完整 性 校 
验 值 (ICV) 之 前 ,必须 先 加 密 数 据 包 。 

@ 计算 完整 性 校 验 值 : 如 果 数 据 包 的 SA 指定 应 用 ESP 认证 服务 ,ICV 的 计算 使 用 了 
除 认证 数据 域外 的 所 有 ESP 头 域 ,而 认证 数据 域 用 来 存放 ICV。 数 据 包 的 SA 指定 了 用 来 
ÆR ICV 的 消息 认证 码 算法 。 可 用 的 认证 算法 因 不 同 的 IPSec 实现 而 不 同 。 然 而 ,为 了 互 
操作 性 ESP 规范 指定 所 有 的 实现 必须 支持 HMAC-MD5 和 HMAC-SHA-1。 认 证 算法 生 
成 ICV 时 需要 密 钥 。IKE 协议 负责 协商 和 建立 必要 的 密 钥 和 其 他 的 SA 参数 。 

@ 分 段 : 如 果 需 要 分 段 ,可 以 通过 适当 的 方法 取得 从 包 的 源 到 目的 路 径 的 最 大 传输 单 
元 (MTU)。 然 后 数据 包 被 分 成 适当 的 大 小 并 发 往 目 的 节点 。 

(2) 进入 处 理 

当 一 个 数据 包 到 达 一 个 IPSec 主机 或 安全 网 关 时 ,如 果 更 多 分 段 (MF) 比特 被 设置 ,就 
意味 着 还 有 其 他 的 分 段 未 到 达 。IPSec 应 用 等 待 直到 收 到 一 个 数据 包 , 它 的 序列 号 和 前 面 
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几 个 相同 ,但 是 MF 比特 未 设置 。 之 后 它 重组 IP 分 段 并 执行 以 下 步骤 。 

CD {EM IP XHAI B KY IP 地 址 和 IPSec 协议 以 及 ESP 头 中 的 SPI, 在 进入 SAD 中 查找 
进入 包 的 SA。 如 果 查 找 失败 ,抛弃 该 数据 包 并 审计 事件 。 

@ 使 用 第 @ 步 中 查找 到 的 SA 对 ESP 包 进 行 处 理 。 首 先 要 检查 已 确定 IP 头 中 (在 隧 
道 模式 下 是 内 部 头 ) 的 选择 符 是 否 和 SA 中 的 匹配 。 如 果 选 择 符 不 匹配 ,抛弃 该 数据 包 并 审 
计 事件 。 如 果 匹 配 ,IPSec 应 用 跟踪 SA 以 及 它 相 对 于 其 他 SA 的 应 用 的 顺序 并 重复 步 又 
@ .@ ,直到 遇 到 一 个 传输 层 协 议 ( 对 IPv4 数据 报 而 言 ) 或 一 个 非 IPSec 扩展 头 ( 对 IPv6 数 
据 报 而 言 ) 。 

@ 使 用 包 中 的 选择 符 在 进入 SPD 中 查找 一 条 和 包 选 择 符 匹配 的 策略 。 

[OE REPRO ORAK SA 是 否 和 步骤 @ 找 到 的 策略 匹配 。 如 果 匹 配 失 败 , 则 重复 
步骤 田 .@ 直 到 所 有 的 策略 被 匹配 完 或 匹配 成 功 。 

© 如 果 启 用 了 抗 重 放 服 务 ,使 用 本 章 前 一 部 分 讨论 过 的 抗 重 放 窗 口 来 决定 某 个 包 是 否 
是 重 放 包 。 如 果 是 重 放 包 ,抛弃 该 数据 包 并 审计 事件 。 

© 如 果 SA 指定 需要 认证 服务 ,应 用 SA 指定 的 认证 算法 和 密 钥 生 成 数据 包 的 ICV ,并 
和 ESP 认证 数据 域 中 的 值 相 比较 。 如 果 两 个 值 不 同 ,抛弃 该 数据 包 并 审计 事件 。 

(D 如 果 SA 指定 需要 加 密 服务 ,应 用 SA 指定 的 加 密 算 法 和 密 钥 解 密 数 据 包 。 一 般 而 
言 , 解 密 处 理 对 CPU 和 内 存 的 占用 是 非常 大 的 。 如 果 人 允许 IPSec 系统 进行 不 必要 的 数据 包 
加 解密 , 那 系统 会 很 容易 受到 拒绝 服务 攻击 。 所 以 当 需 要 加 解密 时 ,只 有 在 数据 包 被 成 功 认 
证 后 才 进 行 加 解密 。 

在 这 些 步骤 之 后 ,如 果 数据 包 还 未 被 抛弃 , 它 将 被 提交 到 传输 层 协议 或 转发 到 目的 IP 
地 址 域 所 指定 的 节点 。 


13.3.4 Internet 密 钥 交换 


密 钥 管理 是 使 用 IPSec 的 关键 ,如 通过 密 钥 管理 提供 一 种 方法 用 于 与 其 他 人 协商 协议 、 
加 密 算法 以 及 在 数据 交换 中 使 用 的 密 钥 。 此 外 ,IPSec 需要 知晓 实体 之 间 的 所 有 这 样 的 协 
定 。IETF 的 IPSec 工作 组 已 经 指定 所 有 兼容 的 系统 必须 同时 支持 手工 和 自动 的 SA 和 密 
钥 管 理 。 下 面 是 关于 这 些 技术 的 简要 描述 。 

COD 手工 : 手工 密 钥 和 SA 管理 是 最 简单 的 密 钥 管理 方式 。 一 个 人 (通常 是 系统 管理 
员 ) 手 工 来 配置 每 一 个 系统 , 提供 与 其 他 系统 进行 安全 通信 相关 的 密 钥 信息 及 密 钥 管理 数 
据 。 手 工 技术 可 以 在 小 范围 .静态 环境 中 有 效 作 用 ,但 是 这 种 方法 对 于 大 型 的 网 络 并 不 
适合 。 

(2) 自动 : 通过 使 用 自动 的 密 钥 管理 协议 ,可 以 创建 SA 所 需要 的 密 钥 。 自 动 管理 同样 
为 正在 变化 的 较 大 型 的 分 布 式 系统 提供 更 大 的 可 扩展 性 。 对 于 自动 管理 ,可 以 使 用 各 种 各 
样 的 协议 ,但 是 Internet 密 钥 交换 (IKE) 似 乎 已 经 成 为 当前 的 工业 标准 。 

IKE 协议 不 是 一 个 单一 的 协议 , 它 是 两 个 协议 的 混合 物 , 它 将 Internet 安全 关联 和 密 钥 
管理 协议 与 Oakley 密 钥 交换 协议 集成 在 一 起 。 

1. IKE 交换 阶段 


IKE 通过 两 个 阶段 来 实现 它 的 功能 。 在 第 一 个 阶段 ,两 个 IKE 对 等 方 使 用 一 个 普通 的 
IKE 安全 关联 为 通信 建立 一 个 安全 隧道 。IKE 提供 了 3 种 交换 密 钥 信息 和 建立 SA 的 模 
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式 , 第 一 阶段 仅仅 使 用 主 模式 和 野蛮 模式 。 在 第 二 个 阶段 ,将 为 像 IPSec 这 样 的 服务 或 者 是 
任何 其 他 需要 密 钥 信息 和 参数 协商 的 服务 协商 SA。 第 二 个 阶段 通过 快速 模式 来 完成 。 


2. IKE 交换 模式 

IKE 提供 了 3 种 交换 密 钥 信 息 和 建立 SA 的 模式 , 即 主 模式 .野蛮 模式 和 快速 模式 。 

COD 主 模式 : IKE 的 主 模式 为 建立 第 一 个 阶段 的 IKE SA 提供 了 一 个 3 阶段 机 制 , 它 用 
于 协商 以 后 的 通信 。 在 该 模式 中 ,实体 间 要 协商 足够 多 的 东西 (如 认证 和 加 密 算法 、Hash 
函数 和 密 钥 ) ,这 样 就 能 够 进行 足够 长 时 间 的 安全 通信 以 便 建立 起 用 于 以 后 通信 的 SA。 在 
主 模 式 中 ,要 在 SA 发 起 者 与 响应 者 之 间 交 换 3 个 双向 消息 ,如 图 13. 15 所 示 。 在 第 一 次 交 
换 中 ,两 个 实体 协商 基本 的 算法 和 Hash 函数 。 在 第 二 次 交换 中 ,它们 交换 用 于 Diffie- 
Hellman 密 钥 交换 协议 的 公 钥 并 传递 各 自 的 Nonce( 为 证 明 其 身份 而 由 另 一 个 实体 签名 并 
返回 的 随机 数 )。 在 第 三 次 交换 中 ,它们 验证 身份 信息 。 


发 起 者 响应 者 


SA | Header [—— 


2 
一 Header | SA 


3 
Nonce | Key | Header 广 一 


4 
—— Header | Key | Nonce 


Si 


Certificate*| ID | Header 广 一 


[i 


6 
一 Header | ID |Certificate*| Sig 


图 13.15 主 模式 中 的 消息 交互 
* 包含 可 选 的 证 书 载荷 
(2) 野蛮 模式 : 野蛮 模式 与 主 模式 类 似 , 也 用 于 建立 初始 的 IKE SA。 但 野蛮 模式 在 消 
息 构建 的 方式 上 不 同 , 从 而 将 交换 的 数目 从 3 个 减 为 2 个 。 在 野蛮 模式 中 ,发 起 者 在 交换 的 
开始 生成 一 个 Diffie-Hellman 对 ,并 对 第 一 个 数据 包 作 尽 可 能 多 的 实际 工作 : 建议 一 个 
SA, 传 递 Diffie-Hellman 公开 值 ,发 送 给 一 个 用 于 对 方 签 名 的 一 次 性 随机 数 , 并 发 送 一 个 ID 
数据 包 。 这 样 借助 于 第 三 方 , 响 应 者 可 以 用 它 来 验证 发 起 者 的 身份 ,参见 图 13. 16。 然 后 ， 
响应 者 发 回 为 了 完成 本 次 交换 而 需要 的 一 切 消息 。 发 起 者 剩 下 要 做 的 事 就 是 确认 本 次 交 
换 。 野 蛮 模 式 的 优点 是 速度 快 ,但 并 不 对 通信 实体 提供 身份 保护 。 这 意味 着 实体 要 在 建立 
发 起 者 响应 者 


1 
ID [Nonce | Key | SA | Header —— 


S 


Certificate* | Si; 


2 
一 Header | Nonce | Key | SA ig 


3 


Sig | Certificate*| Header | —— 


13.16 野蛮 模式 中 的 消息 交互 
* 包含 可 选 的 证 书 载荷 
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一 个 用 于 加 密 身份 信息 的 安全 SA 之 前 交换 身份 信息 。 因 此 ,监视 一 个 用 野蛮 模式 交换 的 
人 可 以 识别 出 刚刚 产生 了 一 个 新 SA 的 实体 。 

(3) 快速 模式 : 在 两 个 通信 实体 使 用 主 模式 或 者 野蛮 模式 建立 了 一 个 IKE SA 之 后 , 它 
们 就 可 以 使 用 快速 模式 了 。 与 主 模式 和 野蛮 模式 不 同 的 是 ,快速 模式 仅仅 用 于 协商 通用 的 
IPSec 安全 服务 并 生成 新 的 密 钥 信息 。 因 为 数据 已 经 位 于 一 个 安全 的 隧道 里 面 (每 一 个 数 
据 包 都 是 加 密 的 ) ,在 快速 模式 中 可 以 提供 更 多 一 点 的 灵活 性 。 快 速 模式 中 的 数据 包 都 是 加 
密 的 ,并 且 以 一 个 杂凑 载荷 开始 ,该 杂凑 载荷 是 由 一 致 认可 的 伪 随 机 函数 和 为 IKE SA 而 衍 
生出 的 认证 密 钥 构成 。 杂 次 载 荷 用 于 认证 数据 包 的 其 余部 分 。 快 速 模式 定义 了 数据 包 的 哪 
一 部 分 将 包括 在 杂凑 中 。 如 图 13. 17 Bros ,发 起 者 发 送 一 个 带 有 快速 模式 杂凑 的 数据 包 ,该 
数据 包 中 包含 有 建议 和 一 次 性 随机 数 。 紧 接着 响应 者 用 一 个 类 似 的 数据 包 来 应 答 ,此 时 响 
应 者 生成 它 自己 的 一 次 性 随机 数 , 并 将 发 起 者 的 一 次 性 随机 数 包括 在 用 于 确认 的 快速 模式 
杂凑 中 。 然 后 ,发 起 者 发 回 一 个 对 这 两 个 一 次 性 随机 数 的 确认 快速 模式 杂凑 ,从 而 完成 本 次 
交换 。 最 后 ,将 衍生 出 的 密 钥 作 为 杂凑 使 用 的 密 钥 ,两 个 实体 将 对 下 面 各 项 的 连接 作 杂 凑 运 
算 : 一 次 性 随机 数 、SPI 以 及 发 起 该 交换 的 ISAKMP 头 中 的 协议 值 。 新 计算 出 的 杂凑 作为 
该 SA 的 新 的 口令 字 。 

发 起 者 响应 者 

[IDMD] | [Key]| Nonce| SA | Hash Header |= 


2 
—— Header | Hash | SA | Nonce | [Key] |[IDMD] 


Hash | Header H- 


图 13.17 快速 模式 中 的 消息 交互 


13.4 TLS 协议 


1994 年 ,Netscape 公司 为 了 保护 Web 通信 协议 HTTP/S-HTTP, 开 发 了 SSL(Secure 
Socket Layer) 协议 。 该 协议 第 一 个 成 熟 的 版 本 是 SSLv2. 0, 被 集成 到 Netscape 公司 的 
Internet 产品 中 ,包括 Navigator 浏览 器 和 Web 服务 器 产品 等 。SSLv2.0 协议 的 出 现 , 基 本 
上 解决 了 Web 通信 协议 的 安全 问题 。 随 后 ,Microsoft 公司 对 该 协议 进行 了 一 些 修改 ,发 布 
T PCT(Private Communication Technology) 协 议 ,并 应 用 于 Internet Explorer 等 产品 中 。 
1996 年 ,Netscape 公司 发 布 了 SSLv3. 0, 该 版 本 增加 了 对 除了 RSA 算法 之 外 的 其 他 算法 的 
支持 和 一 些 新 的 安全 特性 ,并 且 修 改 了 前 一 个 版 本 中 存在 的 一 些 安全 缺陷 ,与 SSLv2. 0 相 
比 更 加 成 熟 和 稳定 ,因此 ,很 快 成 为 事实 上 的 工业 标准 。1997 年 ,IETF 基于 SSLv3. 0 协议 
发 布 了 TLSv1.0(Transport Layer Security) 传 输 层 安全 协议 草案 ,实质 上 是 SSLv3.1, 与 
SSLv3. 0 十 分 接近 。Microsoft 公司 也 不 再 完善 PCT, 而 是 与 Netscape 公司 一 起 宣布 支持 
该 开放 标准 。1999 年 ,正式 发 布 了 RFC2246。 

TLS 协议 是 基于 会 话 的 加 密 和 认证 的 Internet 协议 , 它 在 两 实体 (客户 和 服务 器 ) 之 间 
提供 了 一 个 安全 的 管道 。 为 了 防止 客户 -服务 器 应 用 中 的 监听 、 算 改 及 消息 伪造 ,TLS 提供 
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了 服务 器 认证 服务 和 可 选 的 客户 端 认 证 服务 。 通 过 在 两 个 实体 之 间 建 立 一 个 共享 的 秘密 ， 
TLS 提供 了 机 密 性 服务 。 

TLS 工作 在 传输 层 ( 在 应 用 层 之 下 ), 并 与 使 用 的 应 用 层 协议 无 关 。 因 此 ,应 用 层 协 
议 ( 如 HTTP、FTP 和 TELNET) 可 以 透明 地 置 于 TLS 之 上 ,图 13. 18 显示 了 TLS 在 
TCP/IP 中 的 位 置 。 


Ts oat TS HTTP 
握手 协议 | “， 、 警告 协议 
SMTP HTTP NNTP 协议 


TLS TLS 记 录 协 议 


TCP TCP 


IP IP 


Æ 13.18 TLS # TCP/IP 中 的 位 置 图 13. 19 TLS 协议 栈 


13.4.1 TLS 体系 结构 


TLS 不 是 单个 协议 ,而 是 两 层 协议 ,如 图 13. 19 所 示 。 

TLS 记录 协议 为 不 同 的 更 高 层 协议 提供 了 基本 的 安全 服务 ,特别 是 它 可 为 Web 客户 / 
服务 器 的 交互 提供 传输 服务 的 超 文 本 传输 协议 (HTTP) 提 供 安全 服务 。 下 面 的 3 个 更 高 层 
协议 也 是 TLS 的 组 成 部 分 : 握手 协议 、 更 改 密码 规范 协议 和 警告 协议 。 

系统 的 状态 描述 了 一 个 特定 时 间 点 的 系统 。 状 态 变 换 是 从 一 个 状态 到 另 一 个 状态 的 过 
程 。 一 个 特定 对 象 的 所 有 可 能 状态 以 及 状态 变换 的 组 合 称 为 一 个 状态 机 。TLS 有 两 个 状 
态 机 ; 一 个 用 于 协议 的 客户 端 ; 另 一 个 用 于 协议 的 服务 器 端 。 每 一 个 端点 必须 实现 协议 的 
匹配 方 。 状 态 机 之 间 的 交互 作用 称 为 握手 。 

协调 客户 端 和 服务 器 端的 状态 机 是 TLS 握手 协议 的 责任 ,这 可 以 使 得 每 一 方 的 状态 机 
持续 地 运行 ,尽管 状态 机 并 不 是 完全 并 行 的 。 从 逻辑 上 讲 ,状态 要 进行 两 次 协调 : 第 一 次 用 
于 当前 的 运行 状态 ,第 二 次 用 于 未 决 的 状态 (在 握手 协议 期 间 )。 此 外 ,要 分 别 维护 读 状态 和 
写 状 态 。 一 个 TLS 会 话 可 以 包括 多 个 安全 的 连接 ,实体 间 可 以 同时 有 多 个 会 话 。 

TLS 规范 中 定义 了 一 个 会 话 状态 的 要 素 。 

CD 会 话 标识 符 : 由 服务 器 选择 的 一 个 任意 的 字 节 序列 ,用 于 标识 一 个 活动 的 或 可 重 
用 的 会 话 状态 。 

(2) 对 方 的 证 书 : 对 方 的 X. 509v3 证 书 。 此 要 素 可 为 空 。 

(3) 压缩 方法 : 在 加 密 之 前 所 使 用 的 数据 压缩 算法 。 

(4) 密码 规范 : 指定 数据 加 密 算法 Cs DES 等 ) 和 用 于 消息 认证 的 MAC 算法 (如 
MD5 或 者 SHA1)。 它 同样 定义 了 诸如 杂凑 长 度 这 样 的 密码 属性 。 

(5) 主 秘密 : 在 客户 端 和 服务 器 之 间 共 享 的 一 个 48B 的 秘密 。 

(6) 可 重用 否 : 一 个 标志 ,用 于 指明 该 会 话 是 否 可 以 用 来 发 起 一 个 新 的 连接 。 

此 外 ,TLS 规范 中 也 定义 了 一 个 连接 状态 的 要 素 。 

CD 服务 器 和 客户 端 随机 数 : 由 客户 端 和 服务 器 独立 选择 的 用 于 各 自 连接 的 字 节 
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序列 。 

(2) 服务 器 写 MAC 秘密 : 用 于 对 服务 器 写 的 数据 进行 MAC 操作 的 秘密 密 钥 。 

(3) 客户 端 写 MAC 秘密 : 用 于 对 客户 端 写 的 数据 进行 MAC 操作 的 秘密 密 钥 。 

(4) 服务 器 写 密 钥 : 用 于 由 服务 器 加 密 并 由 客户 端 解密 的 数据 的 对 称 密码 密 钥 。 

O 客户 端 写 密 钥 : 用 于 由 客户 端 加 密 并 由 服务 器 解密 的 数据 的 对 称 密码 密 钥 。 

(6) 初始 化 向 量 : 每 一 个 使 用 CBC 模式 的 分 组 密码 ,都 需要 一 个 初始 化 向 量 (IV) 。 该 
域 首先 由 TLS 握手 协议 对 其 初始 化 。 此 后 ,每 一 个 记录 最 后 的 密 文 块 将 保留 ,以 用 于 其 后 
的 记录 。 

D 序列 号 : 对 于 每 一 个 连接 ,每 一 方 独立 维护 用 于 传输 出 的 和 接收 到 的 消息 的 序列 
号 。 当 一 方 发 送 或 者 接收 到 一 个 ChangeCipherSpec 消息 时 ,就 将 该 适合 的 序列 号 置 为 0。 
序列 号 的 类 型 为 uint64, 不 超过 2 — 1, 


13.4.2 TLS 记录 协议 


当 要 将 数据 传输 到 上 层 应 用 以 及 从 上 层 应 用 中 接收 数据 时 ,这 些 操作 都 是 在 TLS 的 记 
录 层 里 来 完成 的 ,参见 图 13. 20, 正 是 这 一 层 对 数据 进行 了 加 密 、 解 密 和 认证 。 


应 用 数据 应 用 数据 


分 段 数据 段 数据 段 


压缩 


增加 MAC | | 


加 密 | 


i 
添加 SSL | 
记录 头 


图 13.20 TLS 记录 协议 的 操作 过 程 


记录 层 主要 执行 下 列 5 步 操作 。 

CD. 当 记 录 层 从 上 面 的 应 用 层 接收 到 不 间断 的 数据 流 时 ,将 对 数据 进行 分 段 ,或 者 是 将 
其 分 割 成 可 管理 的 明文 块 (也 称 记 录 )。 每 一 个 记录 的 长 度 为 16KB 或 者 更 小 。 

(2) 作为 一 种 选择 ,可 使 用 当前 会 话 状态 中 定义 的 压缩 算法 对 明文 块 记录 进行 压缩 。 

(3) 对 每 一 个 明文 记录 ,计算 MAC 值 。 为 此 目的 , 需 使 用 先前 建立 的 共享 秘密 。 

(4) 使 用 先前 达成 共识 的 用 于 该 会 话 的 对 称 密码 来 对 压缩 的 (或 者 明文 ) 数 据 以 及 与 之 
相关 联 的 MAC 加 密 。 压 缩 必须 是 无 损 压 缩 , 加 密 不 能 使 记录 的 整个 长 度 的 增加 超 
过 1024B。 

C5) 将 包含 有 下 面 各 域 的 头 作 为 一 个 前 级 添加 到 每 一 个 记录 中 。 

© 内 容 类 型 : 该 域 表明 用 于 处 理 在 下 一 个 高 层 协议 中 被 封装 的 记录 的 协议 。 

© EMA. 该 域 表明 使 用 的 TLS 协议 的 主 版 本 号 ,TLS 的 值 为 3。 
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@ 次 版 本 : 该 域 表明 使 用 的 TLS 协议 的 次 版 本 号 ,TLS 的 值 为 1。 

@ 压缩 的 长 度 : 该 域 表 明 以 字 节 计 的 明文 记录 的 总 长 度 。 

接收 到 这 些 信息 的 实体 要 将 该 过 程 逆 置 ,也 就 是 说 ,简单 地 将 解密 和 认证 函数 反 过 来 
执行 。 
13.21 显示 了 TLS 记录 头 的 格式 。 


内 容 类 型 | 主 版 本 | 次 版 本 | 压缩 长 度 


明文 (可 选 压缩 ) 


MAC(0 ~ 16 3% 20B) 


图 13.21 TLS 记录 头 的 格式 


13.4.3 TLS 更 改 密码 规范 协议 和 警告 协议 


1. 更 改 密码 规范 协议 

设计 更 改 密码 规范 协议 的 目的 是 为 了 表示 密码 策略 的 变化 。 该 协议 包括 一 个 单一 的 消 
息 ,该 消息 由 值 为 1 的 单个 字 节 组 成 , 它 告知 记录 层 按照 当前 密码 规范 中 所 指定 的 方式 进行 
加 密 和 压缩 。 在 完成 握手 协议 之 前 ,客户 端 和 服务 器 都 要 发 送 这 一 消息 ,以 便 通知 对 方 其 后 
的 记录 将 用 刚刚 协商 的 密码 规范 以 及 相关 联 的 密 钥 来 保护 。 一 个 意外 的 更 改 密码 规范 消息 
将 生成 一 个 “意外 消息 ”警告 。 


2. 警告 协议 

TLS 记录 层 支持 的 内 容 类 型 之 一 是 警告 类 型 。 警 告 协议 将 警告 消息 及 其 严重 程度 传 
递 给 TLS 会 话 中 的 主体 , 它 的 每 个 消息 由 两 个 字 节 组 成 ,第 1 个 字 节 表示 警告 的 级 别 , 其 值 
为 1( 表 示警 告 ) 或 2( 表 示 致 命 的 警告 ) ,第 2 个 字 节 包含 了 指出 特定 警告 的 代码 。 就 像 由 记 
录 层 处 理 的 应 用 层 数据 一 样 , 警 告 消息 也 用 当前 连接 状态 所 指定 的 方式 来 压缩 和 加 密 。 

当 任何 一 方 检测 到 一 个 错误 时 ,检测 的 一 方 就 向 另 一 方 发 送 一 个 消息 。 如 果 警 告 消息 
有 一 个 致命 的 后 果 ,通信 的 双方 立即 关闭 连接 。 双 方 都 需要 忘记 任何 与 该 失败 的 连接 相关 
联 的 会 话 标识 符 、 密 钥 和 秘密 。 对 于 所 有 的 非 致命 的 错误 ,双方 可 以 缓存 信息 以 重用 该 
连接 。 

下 面 的 错误 警告 是 致命 的 。 

CD 意外 消息 (Unexpected_message) : 如 果 收 到 一 个 不 合适 的 消息 ,就 返回 该 消息 。 

(2) 错误 的 记录 MAC(Bad_record_mac): 如 果 收 到 一 个 带 有 不 正确 消息 认证 码 的 记 
录 , 就 返回 该 消息 。 

(3) 解密 失败 (Decryption_failed) : 对 密 文 解密 不 合法 ,或 者 密 文 不 是 分 组 长 度 的 偶数 
倍 , 或 者 在 检查 时 发 现 它 的 填充 值 不 正确 。 

(4) 解压 缩 失败 (Decompression_failure) : 如 果 解 压缩 函数 收 到 一 个 不 正确 的 输入 (如 
数据 不 能 解压 缩 或 者 数据 解压 缩 至 一 个 超出 长 度 ) ,将 返回 该 消息 。 

G) 握手 失败 (Handshake_failure); 返回 该 消息 表明 在 给 定 的 可 用 选项 下 ,发 送 者 无 
法 协商 一 个 可 以 接受 的 安全 参数 集 。 
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(6) 非法 参数 (Illegal_parameter) : 握手 中 的 某 数据 域 超出 范围 或 者 与 其 他 的 数据 域 不 
一 致 。 
(7) 记录 溢出 (Record_overflow): 收 到 的 TLS 记录 的 载荷 ( 密 文 ) 长 度 超过 了 (2 + 
2048)B, 或 者 密 文 解密 后 的 长 度 大 于 (2 十 1024)B。 

(8) RAI CACUnknown, ca) : 收 到 了 合法 的 证 书 链 或 部 分 证 书 链 ,但 无 法 接受 证 书 , 因 
为 CA 证 书 不 能 被 定位 或 者 不 能 和 已 知 的 、 可 信 的 CA 相 匹 配 。 

(9) 访问 拒绝 (Access_denied) ; 收 到 了 合法 的 证 书 , 但 当 应 用 于 访问 控制 时 ,发 送 者 决 
定 不 再 继续 执行 该 协商 。 

(10) 译 码 错误 (Decode_error) : 消息 不 能 被 译 码 ,因为 某 些 字段 超出 了 指定 的 范围 ,或 
者 消息 的 长 度 不 正确 。 

(11) 输出 限制 (Export_restriction) : 检测 出 协商 与 输出 限制 不 兼容 ,如 企图 为 RSA_ 
EXPORT 握手 方法 传输 一 个 1024b 的 临时 RSA 密 钥 。 

(12) 协议 版 本 (Protocol_version): 客户 企图 协商 的 协议 版 本 被 识别 出 ,但 不 被 支持 ， 
例如 ,由 于 安全 原因 , 旧 的 协议 版 本 已 被 避免 使 用 。 

(13) 不 充分 安全 (Insufficient_security) : 当 由 于 服务 器 要 求 比 客户 支持 的 更 安全 的 密 
码 而 使 得 协商 失败 时 ,返回 该 警告 而 不 是 “握手 失败 ”警告 。 

(14) 内 部 错误 (Internal_error) : 与 对 等 实体 或 协议 的 正确 性 无 关 的 内 部 错误 使 得 协 
商 不 能 继续 。 

其 余 的 警告 如 下 。 

(1) 错误 证 书 (Bad_certificate) : 返回 该 消息 表明 证 书 已 损坏 (也 就 是 , 它 包 含有 一 个 无 
法 通过 验证 的 签名 ) 。 

(2) 不 支持 证 书 (Unsupported_certificate) : 返回 该 消息 表明 证 书 是 一 个 不 被 支持 的 类 
型 的 证 书 。 

(3) 证 书 吊销 (Certificate_revoked) : 返回 该 消息 表明 证 书 已 被 其 签发 者 吊销 。 

(4) 证 书 过 期 (Certificate_expired) : 返回 该 消息 表明 证 书 已 经 过 期 。 

(5) iE # Al (Certificate_unknown) : 返回 该 消息 表明 在 处 理 证 书 的 过 程 中 出 现 了 一 
些 其 他 (未 指明 ) 的 问题 ,这 是 不 可 接受 的 。 

(6) 关闭 通知 (Close_notify) : 该 消息 通知 接收 者 ,发 送 者 将 不 再 通过 该 连接 发 送 任 何 
信息 。 在 关闭 一 个 连接 的 写 一 方 之 前 ,每 一 方 都 需要 发 送 该 消息 。 

(7) 解密 错误 (Decrypt_error) : 握手 加 密 操作 失败 ,包括 不 能 正确 地 验证 签名 ,解密 密 
钥 改 变 或 者 不 能 确定 所 完成 的 消息 的 合法 性 。 

(8) 用 户 中 止 (User_canceled) : 这 个 握手 由 于 某 个 与 协议 失败 无 关 的 原因 而 被 中 止 。 

(9) 不 能 重新 协商 (No_renegotiation) : 在 初始 握手 之 后 ,客户 发 送 的 作为 hello 请 求 的 
响应 或 者 服务 器 发 送 的 作为 客户 hello 的 响应 的 警告 。 


13.4.4 TLS 握手 协议 


TLS 握手 协议 建立 连接 会 话 状 态 的 密码 参数 ,该 过 程 在 TLS 记录 协议 之 上 进行 。 当 
TLS 协议 的 客户 和 服务 器 开始 第 一 次 通信 时 ,首先 需要 协商 协议 版 本 ,选择 密码 算法 ,相互 
进行 认证 (可 选 功能 ) ,并 使 用 公 钥 密码 技术 生成 共享 秘密 。 
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TLS 握手 协议 包括 以 下 步 又。 

(1). 交换 hello 消息 以 协商 密码 算法 ,交换 随机 值 并 检查 会 话 是 否 可 重用 。 

(2) 交换 必要 的 密码 参数 ,使 客户 和 服务 器 能 够 协商 预 主 秘密 PremasterSecret。 

(3) 交换 证 书 和 密码 信息 ,使 客户 和 服务 器 能 够 进行 相互 认证 。 

(4) 使 用 交换 的 随机 值 和 PremasterSecret 生成 主 秘密 MasterSecret。 

(5) 为 记录 协议 提供 安全 参数 。 

(6) 允许 客户 和 服务 器 校 验 对 方 是 否 计算 出 了 相同 的 安全 参数 ,以 及 校 验 上 述 握手 过 
程 是 否 被 攻击 者 窃听 。 


1. 握手 流程 

握手 协议 的 过 程 描述 如 下 。 

客户 向 服务 器 发 送 ClientHello 消息 ,服务 器 回应 ServerHello 消息 。ClientHello 和 
ServerHello 消息 建立 下 列 安全 属性 : 协议 版 本 、 会 话 ID, CipherSuite 和 压缩 方法 ,同时 生 
成 并 交换 两 个 随机 数 : ClientHellorandom 和 ServerHellorandom 。 

实际 的 密 钥 交换 使 用 4 条 消息 : ServerCertificate, ServerKeyExchange , ClientCertificate 和 
ClientKeyExchange。 

在 hello 消息 之 后 ,如果 需要 认证 服务 器 的 话 ,服务 器 将 发 送 其 证 书 。 另 外 ,如 果 需 要 
的 话 , 还 要 发 送 ServerKeyExchange 消息 。 对 服务 器 进行 认证 之 后 ,服务 器 可 以 请 求 客户 
证 书 。 然 后 ,服务 器 将 发 送 ServerHelloDone 消息 ,指示 握手 协议 的 hello 消息 阶段 结束 , 服 
务 器 等 待 客户 的 响应 。 如 果 服 务 器 发 送 了 CertificateRequest 消息 ,客户 必须 发 送 客户 证 
书 ,然后 发 送 ClientKeyExchange 消息 ,消息 的 内 容 取 决 于 Client Hello 和 ServerHello 定义 
的 密 钥 交 换算 法 。 如 果 客 户 发 送 了 具有 签名 能 力 的 证 书 , 则 需要 发 送 CertificateVerify W 
息 显 式 地 校 验 该 证 书 。 

随后 ,客户 发 送 ChangeCipherSpec 消息 ,并 将 未 决 (pending) 的 CipherSpec 复制 为 当前 
的 CipherSpec。 然 后 ,客户 在 新 的 算法 、 对 称 密 铀 和 MAC 秘密 之 下 立即 发 送 finish 消息 。 
服务 器 响应 客户 的 消息 ,发送 其 ChangeCipherSpec 消息 和 finish 消息 。 到 此 为 止 ,握手 结 
东 , 客 户 和 服务 器 可 以 开始 发 送 应 用 层 数据 。 握 手 流程 如 图 13. 22 所 示 。 

如 果 客 户 和 服务 器 决定 重用 以 前 的 会 话 , 则 过 程 如 下 。 

客户 使 用 要 重用 的 会 话 的 会 话 ID 发 送 ClientHello 消息 ,服务 器 在 会 话 缓存 中 检查 该 
ID, 如 果 找 到 匹配 的 ID ,并 且 服 务 器 同意 在 这 样 的 条 件 下 建立 连接 , 它 将 发 送 包 含 相同 ID 
的 ServerHello 消息 。 此 时 ,客户 和 服务 器 都 必须 在 发 送 finish 消息 之 前 发 送 
ChangeCipherSpec 消息 ,流程 如 图 13.23 所 示 。 如 果 服 务 器 没有 找到 相 匹配 的 会 话 ID, 服 
务 器 将 生成 新 的 会 话 ID ,双方 需要 进行 完整 的 握手 。 


2. 基本 消息 描述 

(D Hello 消息 : 服务 器 和 客户 使 用 Hello 消息 来 交换 安全 相关 的 信息 ,如 随机 数 、 
CipherSuite 等 ,包括 ClientHello 消息 、ServerHello 消息 和 HelloRequest 消息 。 

(2) ServerCertificate 消息 : 该 消息 表示 服务 器 发 送 证 书 ,在 ServerHello 消息 之 后 立 
即 被 发 送 。 证 书 的 类 型 必须 与 所 选择 的 CipherSuite 中 的 密 钥 交换 算法 相 匹 配 ,一 般 情况 下 
是 X. 509v3 格式 的 证 书 , 证 书 中 要 包含 与 密 钥 交换 算法 相 匹配 的 密 钥 。 
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客户 服务 器 
ClientHello m, 
ServerHello 
Certificate* 
ServerKeyExchange 


CertificateRequest* 
————! ServerHelloDone 
Certificate* 
ClientKeyExchange 
Certificate Verify* 
[ChangeCipherSpec] 
Finished ————— 
[ChangeCipherSpec] 
< Finished 


ApplicationData <—— | ApplicationData 


图 13. 22 ”握手 过 程 消息 流程 图 
* 可 选 的 消息 或 者 根据 具体 情况 来 决定 是 否 要 发 送 的 消息 


客户 服务 器 
ClientHello =u 
ServerHello 


[ChangeCipherSpec] 


<— | Finished 
[ChangeCipherSpec] 
Finished 人 
ApplicationData <—— | ApplicationData 


图 13. 23 会 话 重 用 的 握手 过 程 消息 流程 图 


(3) ServerKeyExchange 消息 : 该 消息 仅 在 服务 器 发 送 的 ServerCertificate 消息 中 没有 
包含 足够 的 信息 使 客户 可 以 交换 PremasterSecret 时 发 送 , 为 客户 端 协商 PremasterSecret 
传递 密码 信息 。 

(4) CertificateRequest 消息 : 服务 器 发 送 该 消息 指示 客户 提供 其 证 书 。 

(5) ServerHelloDone 消息 : 服务 器 发 送 该 消息 指示 Hello 阶段 结束 。 

(6) ClientCertificate 消息 : 这 是 客户 接收 到 ServerHelloDone 消息 之 后 能 够 发 送 的 第 
一 条 消息 ,该 消息 只 有 在 服务 器 要 求证 书 的 情况 下 才 发 送 。 如 果 客户 没有 合适 的 证 书 ,也 可 
以 发 送 不 包含 证 书 的 ClientCertificate 消息 。 

(7) ClientKeyExchange 消息 : 该 消息 由 客户 发 送 , 一 般 使 用 RSA 公 钥 加 密 的 方式 直 
接 传输 PremasterSecret ,或 者 使 用 Diffie-Hellman 方法 使 双方 商定 该 秘密 。 
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(8) CertificateVerify 消息 : 该 消息 用 来 提供 显 式 的 客户 证 书 校 验 。 

(9) Finished 消息 : 该 消息 在 ChangeCipherSpec 消息 之 后 发 送 ,用 来 校 验 密 钥 交换 和 
认证 过 程 是 否 成 功 。Finished 消息 是 第 一 个 使 用 刚刚 商定 的 算法 、 密 钥 和 秘密 进行 保护 的 
消息 。 该 消息 的 接收 者 必须 校 验 消息 内 容 的 正确 性 。 


13.4.5 TLS 密码 特性 


记录 层 主要 使 用 了 对 称 密码 算法 `MAC 算法 ;握手 层 主 要 使 用 了 基于 公开 密 钥 技术 的 
密 钥 交 换算 法 (如 RSA、 临 时 或 匿名 Diffie-Hellman) ,其 密码 特性 是 TLS 协议 的 重要 特点 。 


1. 伪 随 机 数 生成 

TLS 协议 的 记录 协议 和 握手 协议 中 许多 地 方 都 需要 使 用 加 密 的 MAC, 即 用 秘密 保护 
的 消息 摘要 。 在 不 知道 MAC 秘密 的 情况 下 伪造 MAC 是 不 可 能 的 。 协 议 中 使 用 的 方法 称 
为 HMAC 算法 。 

HMAC 可 以 使 用 多 种 不 同 的 Hash 算法 。TLS 中 使 用 了 两 种 不 同 的 Hash 算法 , 即 
MDS 和 SHA-1, 分 别 表示 为 HMAC_MD5(secret, data) 和 HMAC_SHA (secret, data), 
另外 ,协议 中 还 使 用 了 一 种 秘密 扩展 算法 ,用 来 将 秘密 扩展 为 用 于 密 钥 生 成 的 密 钥 材 料 。 该 
伪 随 机 函数 (PRF) 把 秘密 、 种 子 和 识别 符 作 为 输入 ,产生 任意 长 度 的 输出 。 为 保证 PRF 尽 
可 能 地 安全 ,使 用 了 两 种 Hash 算法 ,这 样 ,只 要 有 一 种 算法 安全 ,就 可 以 确保 该 PRE 的 安 
全 性 。 其 计算 过 程 如 下 。 

P hash (secret, seed)=HMAC hash (secret,A (1) ||seed) || 


HMAC hash (secret,A(2) ||seed) || 
HMAC hash (secret,A (3) || seed) ||*** 


这 里 的 || 表示 串联 。AQ 〇 定义 如 下 : 


A(0)=seed 

A(i)-HMAC hash(secret,A(i-1)) 

可 以 多 次 重复 使 用 P_hash, 直 到 产生 足够 长 的 数据 。 

TLS 协议 中 的 PRE 是 这 样 构造 的 : 将 秘密 分 成 两 半 ,一 半 使 用 P_MD5 产生 数据 , 另 一 
半 使 用 P_SHA-1 来 产生 数据 ,然后 将 两 个 函数 的 输出 进行 异 或 操作 。S1 和 S2 是 等 长 的 两 
半 秘 密 ,S1 是 秘密 的 前 一 部 分 ,S2 是 秘密 的 后 一 部 分 。 其 长 度 通 过 对 初始 秘密 的 长 度 除 2 
进位 取 整 实现 ,这 样 , 如 果 秘 密 的 长 度 为 一 个 奇数 , 则 ST 的 最 后 一 个 字 节 与 S2 的 第 一 个 字 
节 相 同 。 

L_S 二 以 字 节 计 的 秘密 的 长 度 。 


L S1-L S2-ceil(L S/2) 


秘密 按 上 述 方式 分 为 两 半 ( 可 能 共享 一 个 字 节 ) ,Sl 为 前 L_S1 个 字 节 ,S2 为 后 L_S2 个 
字 节 , 则 PRE 的 定义 如 下 。 


PRF(secret,label,seed)-P MD5(Sl,label||seed) XOR P_SHA-1 (S2, label||seed) 


2. 密 铀 计算 
协议 中 使 用 的 主 秘密 (Master Secret) 被 扩展 为 安全 的 字 节 序列 ,并 分 配给 当前 连接 状 
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态 所 需 的 MAC 秘密 、 对 称 密 钥 和 初始 化 向 量 IV。 生 成 MAC 秘密 和 对 称 密 钥 时 , 主 秘密 用 
T f i ,为 密 钥 生 成 算法 提供 新 鲜 的 密 钥 材料 和 初始 化 向 量 。 
密 钥 材料 的 生成 算法 如 下 。 


key_block=PRF (SecurityParameters.master_secret, "key expansion", 


SecurityParameters.server random||SecurityParameters.client random); 
直到 产生 足够 的 输出 。 然 后 进行 分 段 处 理 : 


Client write MAC secret[SecurityParameters.hash size] 
server write MAC secret[SecurityParameters.hash size] 
Client write key[SecurityParameters.key material length] 
server write key[SecurityParameters.key material length] 
client write IV[SecurityParameters.IV size] 


server write IV[SecurityParameters.IV size] 
对 于 所 有 的 密 钥 交换 算法 ,使 用 相同 的 算法 将 pre. master secret 转换 成 master | 
secret, 


master secret-PRF(pre master secret,"master secret", 


ClientHello.random||ServerHello.random); 


算法 进行 到 产生 了 48 个 字 节 的 伪 随 机 输出 为 止 。 


13.5 TLS/SSL 重 协 商 安全 扩展 


TLS/SSL 容易 遭受 一 种 新 的 重 协商 攻击 : 攻击 者 干扰 客户 端 和 服务 器 之 间 的 TLS 会 
话 , 并 插入 其 任意 选区 的 数据 。 客 户 端 认 为 已 经 和 服务 器 建立 了 一 个 TLS 连接 ,而 服务 器 
则 认为 攻击 者 和 客户 端 是 同一 个 实体 ,从 而 把 攻击 者 传送 的 数据 当 作 是 客户 端 发 送 的 而 接 
受 。 这 一 攻击 可 能 导致 多 种 潜在 的 安全 威胁 。 我 们 提出 了 TLS/SSL 的 安全 重 协商 扩展 方 
案 ,使 得 客户 端 和 服务 器 能 够 显 式 地 区 分 TLS/SSL 重 协 商会 话 与 初始 协商 会 话 ,从 而 防止 
该 攻击 。 


13.5.1 Ray 的 攻击 方法 介绍 


TLS 允许 客户 端 或 者 服务 器 在 TLS 会 话 中 发 起 重 协商 的 请 求 ,建立 新 的 密码 参数 。 
重 协商 握手 是 在 初始 协商 的 基础 上 进行 的 ,并 受到 了 初始 协商 的 保护 。 然 而 ,Ray 指出 : 
在 客户 端 和 服务 器 之 间 的 重 协商 存在 鉴别 不 一 致 问题 ,从 而 导致 双方 在 重 协商 和 初始 协商 
之 间 产 生 匹 配 错 误 。 这 一 安全 缺陷 使 得 攻击 者 可 以 拦截 客户 端的 传输 层 连接 , 插 人 其 自己 
选择 的 数据 ,作为 客户 端 与 服务 器 之 间 交 互通 信 的 prefix。 该 攻击 "所 可 以 描述 如 下 : 


Client Attacker Server 
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<=====Attack injection ======> 


<===Renegotiation triggered===> 


Handshake === ==> 


< 一 一 一 一 一 一 一 一 一 一 一 ==Client- Server Traffic==================== > 


在 该 攻击 中 ,攻击 者 拦截 了 客户 端的 握手 请 求 , 并 不 立即 转发 给 服务 器 。 政 手 与 服务 器 
建立 一 个 TLS 连接 ,并 发 送 其 自己 选择 的 应 用 层 命令 。 当 重 协商 被 触发 (由 敌手 或 者 服务 
器 ) 之 后 ,攻击 者 允许 客户 端 继续 其 与 服务 器 的 TLS 握手 。 该 握手 对 于 客户 端 来 说 是 明文 
的 ,但 对 于 服务 器 来 说 是 经 过 攻击 者 的 TLS 连接 加 密 的 。 在 客户 端 和 服务 器 之 间 的 握手 完 
成 之 后 ,他 们 之 间 的 通信 就 由 其 新 建立 的 安全 参数 进行 保护 ,敌手 并 不 能 读 取 其 通信 。 然 
而 ,服务 器 认为 它 与 攻击 者 之 间 进 行 的 通信 和 与 客户 端 之 间 进 行 的 通信 和 是 来 自 于 同一 个 实 
体 , 从 而 接受 攻击 者 插入 的 数据 作为 之 后 与 客户 端 之 间 传输 数据 的 前 置 数据 (Prefix) 。 

SSLv3 同样 允许 客户 端 或 者 服务 器 在 会 话 中 发 起 重 协商 的 请 求 , 正 如 TLS 一 样 ,从 而 
也 容易 遭受 这 一 类 攻击 。 针 对 TLS 和 SSL 的 攻击 可 能 直接 影响 到 HTTPS, IMAP X 
SMTP 等 众多 协议 ,导致 许多 潜在 的 安全 威胁 5” 。 


13.5.2 安全 重 协商 的 扩展 方法 


对 于 13. 5. 1 小 节 介绍 的 攻击 来 说 ,如 果 客 户 端 和 服务 器 能 够 显 式 地 区 分 TLS 会 话 中 
的 重 协商 与 初始 协商 ,就 可 以 有 效 地 防止 。 本 节 定 义 了 一 种 TLS 安全 重 协商 的 扩展 方法 ， 
在 密码 学 意义 下 区 分 了 重 协商 与 初始 协商 。 初 始 协商 则 保持 不 变 , 尽 可 能 地 与 RFC5246 3 
容 。 如 果 重 协商 被 触发 ,客户 端 和 服务 器 分 别 向 其 对 等 实体 确认 其 已 经 知道 了 该 过 程 是 重 
协商 连接 ,从 而 不 会 导致 握手 匹配 错误 。 根 据 这 种 扩展 方式 ,上 述 攻 击 将 被 检测 到 并 有 效 地 
阻止 。 本 节 定 义 的 安全 的 重 协商 简单 易 实现 ,不 会 带 来 附加 的 存储 代价 ,而 且 可 以 直接 应 用 
于 SSL 协议 实现 安全 重 协 商 。 

本 节 使 用 的 MUST、SHOULD、SHOULD NOT 等 术语 遵循 RFC2119"" 的 解释 。 首 先 
给 出 TLS 协议 中 Finished 消息 的 规范 定义 ,然后 提出 安全 的 重 协商 的 方法 。 

l. TLS 协议 中 规定 的 Finished 消息 

在 TLS pix" 中 规定 了 一 个 Finished 消息 , 在 ChangeCipherSpec 之 后 立即 发 送 
Finished 消息 ,用 于 验证 密 钥 交换 和 鉴别 过 程 是 否 成 功 。Finished 消息 使 用 了 刚 协 商 出 的 
算法 、 密 钥 、 秘 密 进行 保护 。Finished 的 接收 方 MUST 验证 其 内 容 是 正确 的 。 客 户 端 /服务 
器 在 发 送 了 自己 的 Finished 消息 、 接 收 到 对 方 的 Finished 消息 并 进行 验证 之 后 ,就 可 以 通 
过 建立 起 来 的 安全 连接 发 送 和 接收 应 用 数据 。 

Finished 消息 的 结构 : 


struct { 
opaque verify data[verify data length]; 
) Finished; 
verify data 
PRF(master secret, finished label, 
Hash (handshake messages)) 


[0..verify data length- 1]; 


4 
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其 中 ,master_secret 是 用 于 产生 客户 端 和 服务 器 的 MAC 密 钥 和 加 密 密 钥 的 主 秘密 ， 
master_secret 也 用 于 resume 之 前 的 会 话 。 


2. 重 协商 的 安全 扩展 

这 里 规定 了 一 种 新 的 扩展 的 Finished 消息 ,从 密码 学 意义 下 把 重 协商 与 实体 之 间 进 行 
的 TLS 会 话 进行 绑 定 , 以 实现 TLS 安全 的 重 协商 。 

扩展 的 Finished 消息 的 结构 与 上 述 中 的 定义 在 形式 上 完全 一 致 


struct { 
opaque verify data[verify data length]; 
) Finished; 
verify data 
PRF(Hash(master secret, initial master secret), 
finished label, Hash (handshake_messages) ) 
[0..verify data length-1]; 


JE rfi master. secret 是 当前 进行 的 重 协商 握手 的 主 秘密 ,initial master secret 是 客户 端 和 
服务 器 在 此 之 前 进行 的 初始 协商 握手 中 协商 出 来 的 主 秘密 。 


3. 关于 初始 协商 握手 

上 述 规 定 的 扩展 Finished 消息 只 是 针对 TLS 重 协商 握手 而 定义 的 ,对 于 TLS 初始 协 
商 握 手 则 不 作 任 何 变动 。 因 此 ,客户 端 和 服务 器 进行 初始 协商 的 实现 方式 与 TLSC 中 的 规 
范 是 完全 一 样 的 。 

4. 关于 重 协商 握手 

如 果 客 户 端 和 服务 器 之 间 进 行 重 协商 握手 , 则 MUST 按照 以 下 方式 验证 Finished 
消息 : 

客户 端 / 服 务 器 检查 接收 到 的 Finished 消息 中 的 verify_data 字段 ,并 且 验 证 其 是 否 等 
于 PRF(Hash(master_ secret, initial. master secret). finished label. Hash ( handshake _ 
messages). 。 如 果 二 者 相同 ,客户 端 /服务 器 就 知道 了 该 消息 是 扩展 的 Finished 消息 ,从 而 
可 以 安全 地 使 用 重 协商 建立 的 参数 ,无 需 担 心 前 面 的 攻击 。 如 果 接 收 到 的 Finished 消息 与 
其 计算 的 扩展 Finished 消息 不 匹配 , 则 重 协商 失败 。 

这 里 需要 指出 的 是 ,在 SSL BiU" ms Finished 消息 的 定义 方式 与 TLS 协议 中 的 定义 
方式 类 似 。 因 此 ,上 述 规定 的 安全 重 协商 扩展 方法 可 以 直接 用 于 SSL 协议 来 抵抗 Ray 
攻击 。 


5. 兼容 性 考虑 

一 般 地 ,已 经 广泛 部 署 的 现 有 实现 需要 与 支持 安全 重 协商 扩展 的 新 实现 互 操作 。 这 里 
考虑 向 下 兼容 性 。 

如 果 客 户 端 和 服务 器 只 是 进行 TLS 初始 协商 ,那么 升级 后 的 实现 与 现 有 实现 是 完美 兼 
容 的 。 
在 实际 应 用 中 ,升级 单个 服务 器 比 升级 千 万 个 向 该 服务 器 请 求 服务 的 客户 端 更 容易 操 
作 。 考 虑 支持 扩展 Finished 消息 的 升级 的 服务 器 。 如 果 双 方 触发 了 一 次 重 协商 ,从 客户 端 
接收 的 Finished 消息 与 扩展 的 Finished 消息 不 匹配 ,表明 客户 端 不 支持 这 一 扩展 。 如 果 要 
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确保 上 面 的 攻击 不 存在 ,服务 器 MUST 立即 取消 该 会 话 。 否 则 ,服务 器 可 以 按照 TLS 规范 
来 验证 Finished 消息 , 即 验 证 verify data 字段 是 否 等 于 PRF (master_secret, finished _ 
label,Hash handshake_messages)。 如 果 二 者 匹配 ,服务 器 知道 客户 端 不 支持 扩展 的 
Finished 消息 ,如果 为 了 兼容 性 ,可 以 继续 该 会 话 , 否 则 立即 取消 会 话 。 

如 果 服 务 器 没有 进行 升级 来 支持 上 述 扩展 ,那么 对 于 客户 端 来 说 , 重 协商 的 安全 性 与 最 
大 互 操作 性 是 难以 同时 确保 的 ,因此 需要 准备 其 他 的 方式 来 进行 处 理 。 


6. 安全 性 考虑 

使 用 本 节 规 定 的 扩展 的 Finished 消息 来 进行 重 协商 ,只 要 master. secret 没有 暴露 ,并且 杂 
凑 操 作 是 安全 的 , 则 针对 TLS/SSL 的 上 述 攻击 即 可 有 效 地 防止 。TLS 服务 器 SHOULD 进行 
升级 以 支持 该 扩展 ,并 且 SHOULD NOT 允许 客户 端 不 使 用 该 扩展 而 进行 重 协商 。 


13.6 小 结 


本 章 简要 介绍 了 两 种 常用 的 典型 分 布 式 认证 协议 (Kerberos 协议 和 X. 509 协议 ), 以 及 
两 类 重要 的 网 络 安全 通信 协议 (IPSec 协议 和 TLS 协议 ) 。 在 很 多 教科 书 中 都 介绍 了 这 4 种 
协议 ,因此 ,在 写作 过 程 中 尽量 引用 现 有 教科 书 中 表述 比较 好 的 素材 。 另 外 ,我 们 的 目的 也 
是 介绍 这 些 协议 的 基本 思想 ,因此 ,阐述 得 还 不 够 细致 。 有 关 Kerberos 协议 和 X. 509 协议 
的 发 展 历史 和 研究 进展 可 分 别 参阅 文献 [1] 和 [2], 有 关 IPSec 协议 和 TLS 协 议 的 发 展 历史 
和 研究 进展 可 分 别 参阅 文献 [3] 和 [4]。 关 于 IPSec 协议 的 描述 也 可 参阅 文献 [5], 关 于 
SSLv3.0 的 描述 也 可 参阅 文献 [6] 和 [12]。 
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高 安全 级 别 PKI 系统 必须 考虑 许多 威胁 ,包括 内 部 人 员 犯 罪 和 系统 木马 攻击 。 本 章 主 
要 介绍 典型 的 和 我 们 自主 提出 的 一 些 和 人 侵 容 忍 CA 协议 ,该 类 协议 是 构建 高 安全 级 别 PKI 
系统 的 核心 基础 。 入 侵 容忍 CA 协议 的 根本 目的 是 为 了 保护 CA 系统 的 安全 。 在 一 般 的 网 
络 系统 中 ,为 了 防止 人 侵 , 通 常 是 安装 一 个 人 侵 检测 系统 来 监视 其 行为 , 当 发 现 一 个 非 正常 
的 系统 行为 时 ,入 侵 检 测 系统 就 会 通知 管理 员 ,以 采取 适当 的 应 对 措施 。 而 人 侵 容 忍 思想 却 
是 从 一 个 完全 不 同 的 角度 考虑 问题 ,并 不 是 阻止 人 侵 或 者 在 人 侵 发 生 后 检测 出 来 ,而 是 尽 可 
能 把 人 侵 所 能 造成 的 损失 降 到 最 低 。 其 方法 是 确保 一 个 攻击 者 即使 能 够 攻破 系统 的 某 些 部 
件 ( 也 称 组 件 ) , 却 不 能 危及 整个 系统 的 安全 性 。 要 能 危及 整个 系统 的 安全 性 ,攻击 者 攻破 的 
系统 部 件 就 必须 达到 足够 的 数量 ,而 如 此 大 规模 的 入侵 通常 要 比 单个 的 人 侵 容 易 发 现 得 多 。 

从 更 严格 意义 上 来 说 ,入 侵 容 忍 CA 协议 的 核心 目的 在 于 保证 CA 私 钥 的 安全 。 假 设 
CA 系统 只 有 一 台 服 务 器 ,那么 CA 私 钥 就 必须 存放 在 这 人 台 服 务 器 上 ,攻击 者 一 旦 攻陷 这 台 
服务 器 ,就 可 以 轻松 地 获得 CA 私 钥 ,从 而 冒充 CA。 因 此 入 侵 容忍 CA 协议 就 将 CA 私 钥 
分 拆 成 若干 个 部 分 ,每 个 部 分 存放 在 一 台 服 务 器 上 ,保证 了 即使 某 些 服务 器 被 攻击 者 控制 ， 
CA 私 钥 仍 然 是 安全 的 。 为 了 达到 这 个 目的 ,CA 私 钥 应 该 在 其 整个 生命 周期 中 都 不 能 被 某 
个 特权 主体 所 掌握 ,任何 系统 部 件 在 任何 时 间 都 只 能 获得 CA 私 钥 的 部 分 信息 。 在 保护 私 
钥 的 基础 上 ,入 侵 容 忍 CA 协议 进一步 的 目的 是 在 系统 某 些 部 件 失 去 控制 后 ,剩余 的 安全 部 
件 只 要 达到 足够 数量 ,就 可 以 保证 系统 正常 工作 。 这 个 思想 的 基础 就 是 保证 系统 足够 的 元 
余 度 ,每 个 部 件 都 需要 保存 多 份 部 分 私 钥 信 息 ,以 使 得 任意 的 部 件 组 合 ( 只 要 数量 足够 ) 都 可 
以 完成 系统 工作 。 

从 以 上 分 析 可 以 看 出 ,入 侵 容 忍 CA 协议 的 研究 焦点 主要 集中 在 以 下 几 个 方面 。 

(1) 如 何 分 拆 CA 私 钥 ,使 得 只 有 足够 数量 的 部 件 联合 才能 恢复 CA 私 钥 。 

(2) 如 何 保证 CA 私 钥 在 整个 生命 周期 中 都 是 分 散在 多 个 服务 器 上 ,而 不 是 由 某 个 特 
权 主 体 所 掌握 。 

(3) 如 何 保 证 在 系统 的 某 些 部 件 失去 控制 后 ,系统 仍然 能 正常 运行 。 

(4) 如 何 使 系统 可 以 快速 地 检测 出 发 生 错 误 的 部 件 。 

(5) 如 何 加 强 每 个 部 件 上 部 分 私 钥 信息 的 安全 性 。 


14.1 ITTC 入 侵 容 忍 CA 协议 


ITTC 入 侵 容 忍 CA 协议 "是 由 美国 斯 坦 福 大 学 ITTC (Intrusion Tolerance via 
Threshold Cryptography) 项 目 提出 并 实现 的 一 个 基于 RSA 的 入 侵 容忍 CA 协议 ,该 协议 具 
有 结构 简单 、 安 全 性 容易 证 明 等 特点 ,其 主要 思想 是 将 RSA 私 钥 拆 分 成 c 个 数 之 和 ,然后 
分 配给 服务 器 。ITTC 项 目 是 美国 DARPA 计划 资助 的 一 个 项 目 。 图 14. 1 描述 了 ITTC 
MABE CA 协议 的 基本 结构 原理 。 
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图 14.1 ITTC 入 侵 容 忍 CA 协议 的 基本 结构 原理 
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ITTC 入 侵 容忍 CA 协议 主要 包括 以 下 4 个 部 件 。 

(1) Share Server; Share Server 掌管 着 CA 私 钥 的 部 分 秘密 分 享 信息 , 即 部 分 私 钥 。 系 
统 设计 将 CA 私 钥 拆 分 到 多 个 Share Server 上 ,每 个 Share Server 也 可 能 掌管 着 多 种 分 拆 
结构 的 部 分 私 钥 。 

(2) Client; 客户 端 ,向 Share Server 发 出 签名 或 解密 请 求 的 机 器 。 

(3) Administrator; 管理 部 件 , 可 以 管理 Share Server 上 不 同 的 密 钥 ,可 以 关闭 或 者 暂 
时 挂 起 Share Server ,或 者 在 某 些 Share Server 被 攻击 的 情况 下 ,通知 其 他 部 件 采取 行动 等 。 

(4) Monitor: 监视 部 件 ,或 者 说 是 一 个 审计 部 件 ,可 以 记录 系统 进行 的 操作 ,并 转化 为 
可 为 管理 员 所 阅读 的 界面 或 文档 。 


14.1.1 密 钥 管理 与 签名 


密 钥 管 理 的 关键 部 分 是 如 何在 多 个 Share Server 间 分 享 CA 的 RSA 私 钥 ,使 得 这 些 
Share Server 可 以 联合 完成 CA 工作 ,而 无 需 重 构 CA 私 钥 。 

基本 思想 是 将 CA 私 钥 拆 分 成 多 个 部 分 ,每 个 部 分 保存 在 一 个 Share Server 上 , 拆 分 的 
基本 思想 基于 文献 [ 2]。 假 设 要 在 3 f$ Share Server 间 分 享 CA 私 钥 ,RSA 参数 为 K=(N, 
力 ,qg,e,d), 则 拆 分 方案 如 下 。 

CD 随机 选取 3 个 整数 di ,d; ,ds sili Jg — Nd, NG = 1,2,3), H di +d: +d; =d. 

(2) 将 di ,d; ,ds 分 别 保存 在 不 同 的 Share Server 上 。 

这 样 ,一 个 攻击 者 即使 攻破 了 两 台 Share Server, 也 不 可 能 获得 CA 私 钥 d, 只 有 3 台 联 
合 才 可 能 获得 do 

当 客户 端 需要 对 消息 M 进行 签名 时 : 

(1) 客户 端 发 送 消息 M 给 所 有 的 3 台 Share Server。 

(2) 每 台 Share Server 都 可 以 计算 部 分 签名 下; 一 M# mod N ,并 把 R; 发 送 给 客户 端 。 

(3) 客户 端 在 获得 3 个 R; 后 ,计算 下 式 : 

R—R,-R,*R, = M^ « Mè + Mh = Mitth = M'mod N 

尺 正 是 最 终 签名 结果 ,可 以 看 出 在 整个 计算 过 程 中 ,CA AH d 并 没有 被 重 构 , 也 没有 
被 泄露 的 危险 。 

在 上 述 基本 方案 中 ,只 有 所 有 的 Share Server 被 攻破 , 才 可 能 泄露 CA 私 钥 ,但 是 一 旦 
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失去 某 个 Share Server, 系 统 也 就 无 法 正常 工作 ,甚至 完全 丢失 CA 私 钥 , 这 一 点 还 未 达到 人 
侵 容 忍 的 要 求 。 因 此 ,ITTC 将 其 扩展 成 一 个 (t, 大) 门限 方案 , 即 在 总 共 & 个 Share Server 
中 ,至 少 t 个 Share Server 就 可 以 完成 签名 ,或 者 重 构 私 钥 。 例 如 ,如 果 使 用 一 个 (3,4) 门 限 
方案 , 则 即使 失去 一 台 Share Server, 系统 仍 可 正常 工作 ,而 且 攻 击 者 控制 的 Share Server 只 
要 不 到 3 台 , 也 仍然 无 法 获得 CA 私 钥 。 可 以 看 出 ,上 述 基本 方案 实际 上 是 一 个 (k,k) 门 限 
方案 。 

ITTC 方案 使 用 了 一 种 组 合 的 方法 来 实现 门限 思想 ,即使 用 多 个 (t, 妨 门限 方案 的 组 合 ， 
来 完成 (z,k) 门 限 方案 。 

图 14. 2 是 两 个 门限 方案 的 例子 ,每 台 服 务 器 都 保存 着 多 个 d; ,每 个 d; 仍然 是 满足 条 件 
的 随机 数 。 可 以 看 出 ,图 14.2(a) 所 示 为 任意 3 台 服 务 器 都 能 重 构 私 钥 d, 图 14. 2(b) 所 示 
是 任意 2 台 服务 器 就 能 重 构 私 钥 4。 因 此 ,也 就 能 通过 类 似 基 本 方案 的 步骤 完成 CA 签名 。 
基于 这 种 方法 以 及 文献 [3] 和 [4] 中 的 思想 ,ITTC 方案 中 构造 了 以 下 的 门限 方案 。 


d=ditdytd, d=ditd, 


d=dytdstdy d=dy+dy 
Serverl || Server2 || Server3 || Server4 Serverl || Server2 || Server3 || Server4 
d, d; d, d; d, d, d, d; 
d, d, d; ds d; d, d; d, 
(a) (3,4) 门 限 方案 (b) (2,4) 门 限 方案 


图 14.2 门限 方案 示例 


COD 客户 端 任意 选择 上 个 Share Server. dil B. M 发 送 给 它们 ,同时 要 发 送 它 选择 的 
个 Share Server 的 编号 。 

(2) 收 到 签名 请 求 的 Share Server, 根 据 客户 端 选择 的 Share Server 组 合 , 选 择 相 应 的 
d;, 计 算 R( 计 算 方 法 同 基本 方案 ) ,发 送 回 客户 端 。 

(3) 客户 端 计算 收 到 的 i 个 R; 之 积 ,得 到 最 终 签名 R( 原 理 同 基本 方案 )。 

(4) 客户 端 使 用 CA 公 钥 验证 签名 结果 是 否 正确 。 


14.1.2 部 分 签名 验证 


ITTC 方案 同时 还 提供 了 对 部 分 签名 验证 的 方法 ,以 检查 部 分 签名 发 生 错 误 的 Share 
Server。 这 个 方法 需要 客户 端 事 先 拥 有 一 个 正确 的 部 分 签名 。 

假设 Share Server i 以 及 给 客户 端 发 回 了 一 个 部 分 签名 R; 二 M*mod N, 并 且 客 户 端 在 
事先 已 经 拥有 了 一 个 正确 的 部 分 签名 V; — g^ mod N, 其 中 g 是 一 个 事先 选择 好 的 随机 数 。 

验证 部 分 签名 的 步 又 如 下 。 

(1) 客户 端 随机 选取 a RI D ,满足 1<a.b<N ,并 计算 Z—M'g*mod N, 

(2) 客户 端 发 送 Z 给 Share Server i, 要 求 其 对 Z 进行 部 分 签名 ,并 对 结果 利用 SHA-1 
进行 杂凑 。 

(3) Share Server i 计算 A; — SHA- 1CZ^ mod N) ,并 将 A; 返回 给 客户 端 。 

(4) 显然 ,如 果 Share Server i 的 部 分 签名 一 直 都 是 正确 的 , 则 必然 有 

Z4 = (M*g')*5 = Mg = RVimod N 
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Mmi A; -SHA-1(0R;Vimod N)。 客 户 端 只 需 验 证 此 式 是 否 成 立 ,如 果 不 成 立 , 则 Share 
Server i 的 签名 必然 有 错 。 

这 个 部 分 签名 验证 协议 是 文献 [5] 中 的 协议 的 简化 版 ,ITTC 说 明了 一 个 发 生 错 误 的 
Share Server 也 有 可 能 通过 上 述 协议 的 验证 ,成 功 欺 骗 客户 端 ,但 是 这 种 情况 发 生 的 概率 不 
超过 1/N'”。 对 一 个 1024b 的 RSA 算法 而 言 ,欺骗 成 功 的 概率 不 超过 1/2”。 这 个 概率 已 
经 是 非常 的 小 ,在 实际 使 用 中 已 经 足够 证 明 部 分 签名 的 正确 性 。 


14.1.3. 优 、 缺 点 分 析 


该 协议 具有 简单 的 结构 和 很 好 的 安全 性 等 优点 ,其 密 钥 产生 也 采用 了 分 布 式 方案 ,没有 
集中 的 处 理 。 但 存在 以 下 一 些 不 足 之 处 。 

(1) 部 分 密 钥 的 分 发 和 管理 比较 困难 。 增 加 一 个 服务 器 时 ,必须 对 每 一 个 在 线 的 服务 
器 分 配 密 钥 数据 ;同时 客户 端 也 必须 知道 这 样 的 增加 ,这 对 客户 端 提出 了 较 高 的 要 求 。 

(2) 当 服 务 器 很 多 时 ,服务 器 的 密 钥 存储 会 迅速 增加 。 设 服务 器 的 数量 为 上, 则 每 个 服 
务 器 存储 密 钥 的 数量 至 少 为 CF" 个 。 其 中 C 表示 组 合 , 当 上 一 10,t 一 3 时 ,Ch 一 45。 

(3) 存在 必须 事先 同步 的 问题 。 在 进行 计算 前 ,必须 先 选 定 t 个 服务 器 。 当 t 个 服务 器 
选择 完成 后 ,必须 找到 与 这 上 个 服务 器 匹配 的 数据 组 并 通知 他 们 。 当 其 中 有 一 个 服务 器 被 
破坏 时 必须 重复 从 选择 服务 器 开始 的 整个 过 程 。 


14.2 基于 Shamir 秘密 共享 协议 的 入 侵 容忍 协议 


在 Shamir 秘密 共享 协议 中 ,任意 取 上 个 部 分 密 钥 就 能 够 重 构 秘 密 密 钥 。 通 过 这 种 思路 
设计 不 重 构 但 能 够 进行 签名 的 系统 是 容易 想到 的 。 由 于 Shamir 秘密 共享 协议 中 必须 先 恢 
复 秘密 密 钥 ,而 人 侵 容 忍 系统 在 任何 情况 下 都 不 恢复 秘密 密 钥 。 我 们 知道 ,在 Shamir 秘密 
共享 协议 中 , 设 f(x) 一 Sasi, 则 利用 拉 格 朗 日 插值 公式 ,有 


t jżi 


fx) = > (fa) I £—) (14-1) 
IERE t XH Cxi, f Gr) ,就 可 以 得 到 
: "E 
a, = f0) = (fo Ji zc) (4-2) 


f jt 
可 以 设置 o 为 秘密 密 钥 4。 此 时 ,对 一 个 Hash 值 M 的 签名 可 通过 公式 (14-3) 计 

算 , 即 
Me = M = [mois = Tm (4-3) 


i=l i=l 


其 中 


jżi " 
b = fla) +e = f(z) [| —* (14-4) 


这 样 可 以 将 秘密 d 分 到 ARRAS SPA St). BPRS RITA M* ,然后 由 一 个 合 
成 器 将 结果 乘 起 来 就 得 到 M" 而 任何 服务 器 都 不 会 泄露 秘密 4 。 
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其 难点 也 是 明显 的 。 由 于 计算 o. 的 过 程 中 有 除法 计算 ,这 样 就 会 产生 有 理 数 ( 分 数 )， 
这 使 得 升 寡 的 过 程 包含 了 一 个 开 方 的 过 程 。 如 MORERA 3 次 方 。 解 决 这 个 问题 的 简 
单方 法 就 是 寻找 一 个 数 v 构 作 一 个 域 或 环 Z,, 让 所 有 的 计算 在 这 个 域 或 环 中 进行 。 其 中 ,v 
和 c. 的 选取 必须 满足 下 列 条 件 。 

条 件 14.1 vw 为 素数 ,或 者 保证 所 有 zz; 构成 的 上 Br Vandermonde 矩阵 的 行列 式 的 值 与 
v 互 素 。 

即使 选取 了 满足 条 件 14. 1 B v Flan FF b: 的 计算 是 对 wv 求 模 , 所 以 实际 的 结果 是 可 


能 减 掉 或 增加 了 一 些 "的 倍数 。 最 后 的 计算 结果 就 可 能 是 : [| M = Me , 


由 于 MY —] mod N ,所 以 ,许多 人 想到 了 让 v= 一 B(N)。 但 选择 v= O(N) fl x; 选取 
大 大 受 限于 条 件 14. 1。 并 且 , 如 果 选择 v 一 @CN) , 则 分 享 服务 器 就 必须 知道 求 一 些 特别 数 
字 对 于 @CN) 的 逆 ( 将 分 母 变 到 分 子 上 去 ) ,然而 知道 了 某 元 素 c GIO DCN) HYG Co ,就 可 
以 求 出 B(N)。 而 求 出 @CN) 也 就 求 出 了 私有 密 钥 。 显 然 这 是 一 种 不 安全 的 人 侵 容 忍 
方案 。 

CertCom 公司 的 Frankel[5 等 人 提出 让 多 项 式 的 系数 a; YE (OL o 2L? N? t) h, Hep 
L—k!, Ff x, 属于 [1,2,…,k 一 1]。 由 于 所 有 f(x;) 都 能 够 整除 以 L, 故 o, 的 计算 去 掉 
了 求 逆 的 操作 ,可 以 在 整数 中 进行 。 该 方案 可 以 对 一 般 的 RSA 算法 进行 而 不 需要 RSA 的 
模 是 强 素数 。 由 于 其 参数 的 选取 大 大 受 限 , 带 来 了 算法 原理 及 安全 性 证 明 的 复杂 性 。 当 b: 
由 Share Server 进行 计算 时 ,也 存在 着 如 ITTC 方案 中 的 同步 问题 。 因 为 o; 依赖 于 v; 的 选 
WR, Frankel 等 人 也 对 单个 Share Server 的 验证 提供 了 解决 方案 。 

从 其 数学 方案 的 描述 中 可 以 看 出 ,该 方案 的 特点 和 存在 的 不 足 如 下 。 

CD 采用 平等 的 秘密 分 享 , 即 分 享 的 单 层 式 结构 。 

C2) 参数 的 选取 是 受 限 的 ,限制 了 其 使 用 ,同时 证 明 其 安全 性 和 编程 保证 十 分 复杂 , 增 
加 了 出 现 漏洞 的 可 能 性 。 

(3) 存在 着 需要 同步 的 问题 ,而 如 果 去 掉 同 步 , 则 会 大 大 增加 合成 器 的 计算 量 。 

Shoup #2 H T —4-f JH RSA 强 素数 的 方案 ,其 保密 的 素数 p 二 2p 十 1,g 二 29 十 1。 所 
有 的 插值 方程 可 以 看 成 在 模 m= pq 的 环 中 进行 ,但 Share Server 并 不 知道 m。 因 为 Mi S 
N 等 于 1, 分 开 计 算 时 增加 一 次 平方 ,Combiner 再 分 别 对 各 个 结果 平方 一 次 从 而 得 到 
M? ,其 中 A 二 (k1)? 而 g WHR. HFM" —1 从 而 消除 了 m 的 影响 。 该 方案 中 c 
是 由 Combiner 完成 的 ,消除 了 计算 前 的 同步 问题 ,但 带 来 了 Combiner 的 计算 难度 ,使 
Combiner 的 计算 性 能 下 降 。 该 方案 中 ,Combiner 必须 计算 

W = yea ihe oy? 
其 中 y: 为 各 Share Server HHA R, AS kl. BR. k 较 大 时 ,Combiner 的 计算 量 比 
较 大 。 

可 以 看 出 ,该 方案 的 特点 和 存在 的 不 足 如 下 。 

CD 是 一 种 由 各 分 享 服务 器 组 成 的 单 层 式 分 享 结构 ,其 合成 器 不 存储 任何 秘密 ,可 以 由 
任何 设备 完成 合成 工作 。 

(2) 最 后 结果 MP"? 中 消除 了 g 的 不 确定 性 带 来 的 影响 。 

(3) 消除 了 预先 同步 。 
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(4) 仅 从 理论 上 说 明 当 增加 或 删除 分 享 服务 器 时 不 会 影响 其 他 设备 ,但 只 提供 了 数学 
公式 ,没有 任何 实现 上 和 系统 结构 上 的 说 明 。 

(5) 要 求 使 用 强 素数 ,会 对 某 些 应 用 带 来 限制 。 

(6) 整个 计算 当 较 大 时 ,合成 器 (客户 端 ) 的 计算 量 比较 大 。 


14.3 Jing-Feng 入 侵 容 忍 CA 协议 
文献 [7] 针 对 ITTC 方案 的 一 些 缺 陷 提出 了 一 个 新 的 人 侵 容忍 CA 协议 , 称 为 Jing- 
Feng ABAZ CA 协议 。 随 后 又 进一步 发 展 了 相关 理论 CE 。 


14.3.1 系统 结构 


Jing-Feng 方案 以 RSA 算法 为 基础 ,其 基本 原理 类 似 于 文献 [1] 中 的 思想 。 但 Jing- 
Feng 方案 的 结构 不 同 于 ITTC 方案 的 结构 , 它 消除 了 预先 同步 的 问题 ,添加 了 系统 连接 的 
层次 ,减少 了 管理 开销 。 图 14. 3 给 出 了 Jing-Feng 方案 的 结构 原理 。 


Repository 
Agent 


Key B3 
Distributor R= 
Combiner2 
Combinerl 
1 


Share Share Share Share Share Share 
Server] Server2 Server3 Server4 | | ServerS Serveró 


Combiner3 


Bl 


RA Agent 


图 14.3 Jing-Feng 入 侵 容忍 CA 协议 系统 结构 


Jing-Feng 人 侵 容忍 CA 协议 主要 包括 以 下 5 个 部 件 。 

(D) RA Agent: 系统 与 RA 的 接口 , 它 负责 与 RA 进行 保密 通信 ,并 检查 RA 的 签名 。 
同时 , 它 也 是 通 向 外 部 网 络 的 一 个 途径 。 在 用 户 直接 申请 证 书 时 ,也 通过 此 接口 。 

(2) Share Server; 这 些 服务 器 是 用 于 CA 签名 的 ,每 一 个 都 掌握 着 一 个 CA 私 钥 的 部 
分 信息 。 每 一 个 服务 器 都 有 自己 的 编号 。RA Agent 通过 广播 信道 Bl 与 这 些 服务 器 相连 。 
当 有 证 书 cer 需要 CA 签名 时 ,RA 为 此 签名 设 定 一 个 可 以 区 分 的 任务 号 Task(cer)。RA 
Agent 通过 广播 将 需要 签名 的 信息 与 设 定 的 任务 号 Task(cer) 广 播 到 Share Server 的 网 络 
上 。Share Server 根据 设 定 的 算法 选择 任务 ,使 用 手中 持 有 的 部 分 私 钥 进行 签名 。 

(3) Combiner: 这 些 服务 器 是 最 后 的 计算 单元 ,并 且 同 样 掌握 着 CA 私 钥 的 部 分 信息 。 
当 Share Server 完成 部 分 签名 后 ,将 把 部 分 签名 结果 发 送 给 Combiner,Combiner 根据 收 到 
的 部 分 签名 信息 和 自己 所 拥有 的 部 分 私 钥 信 息 ,进行 最 后 的 签名 合成 ,形成 最 后 的 签名 


第 14 章 NRBR CARH 4 


结果 。 

(4) Key Distributor: 即 密 钥 分 发 中 心 ,Key Distributor 作为 一 个 可 信 的 密 钥 分 发 中 
心 , 负 责 更 换 Share Server 和 Combiner 的 部 分 密 钥 。 这 个 部 件 平时 是 离线 的 。 由 安全 策略 
和 管理 规定 与 Share Servers 的 联网 时 间 和 方式 ,连接 的 方式 可 以 采用 经 典 的 密 钥 注 入 的 
方式 。 

(5) Repository Agent: 这 个 部 件 是 与 数据 库 的 接口 ,同时 负 有 系统 错误 检测 和 报警 的 
任务 。 当 Combiner 计算 验证 错误 时 会 通知 Repository Agent。Repository Agent 可 以 通 
过 其 他 Combiner 的 计算 结果 查找 发 生 问题 的 服务 器 或 Combiner, 


14.3.2 密 钥 分 发 与 签名 


这 里 只 考虑 设计 个 Share Server 取 t 个 得 到 签名 的 操作 模式 。CA 的 私 钥 为 d, AH 
为 e 和 NN, 当 然 OCN)=(p—1)(q—1) th BARA. Share Server i 记 为 S;。 


l. 8412 X 
Key Distributor( 密 钥 分 发 器 ) 随 机 选 定 k 个 小 于 d/t 的 随机 数 d: ,该 数 可 以 远 小 于 d 
但 有 效 长 度 不 应 低 于 200b, Key Distributor 根据 针对 每 任意 t 的 组 合计 算 : 
c; = d — (d, +d, +d, di) 
HARTE hiis ni 和 对 应 的 c;。 对 个 d; 来 说 共有 Ct 个 组 合 , 即 计算 C4 个 cj。 
M k=10,t=3 时 ,共有 120 组 。 将 这 Cy HRC siz ,is，…,i,,c;) 分 成 几 个 部 分 ,然后 将 每 
一 部 分 送 到 不 同 的 Combiner, He i, ,i, ,i3，,… ,i 为 Share Server 的 ID 号 。 


2. 签名 协议 

(D RA Agent 分 配 任务 号 。 每 一 个 RA Agent 都 有 自己 的 唯一 标识 x, 每 一 个 RA 
Agent 也 维持 一 个 序列 号 , 当 分 发 一 个 签名 任务 时 ,其 任务 序列 号 加 1。 标 识 工 加 上 自身 的 
任务 序列 号 就 构成 了 任务 号 。 这 个 任务 号 是 全 网 唯一 的 ,然后 将 签名 任务 广播 到 广播 信 
道 Bl. 

(2) Share Server i 收 到 任务 后 ,计算 忙 闲 因子 F;(Task(cer))。 将 待 处 理 队列 中 的 任 
务 数 乘 以 本 机 的 性 能 指标 ,得 到 忙 闲 因子 F;(Task(cer))。 其 中 性 能 指标 是 在 空闲 状态 下 
计算 一 次 标准 升 寡 的 时 间 。 

(3) 接收 针对 此 任务 的 忙 闲 因子 的 广播 ,抛弃 那些 从 同一 个 IP 地 址 来 的 重复 报 文 , 并 
将 接收 到 的 忙 闲 因子 按 大 小 排序 。 如 果 机 器 空闲 ,将 该 任务 送 入 待 处 理 队列 ,任务 会 进入 第 
(5) 步 执行 。 

(4) 如 果 存 在 痉 个 服务 器 的 忙 闲 因子 小 于 自己 的 忙 闲 因子 时 ,抛弃 该 任务 ;否则 将 该 任 
务 送 入 待 处 理 队列 ,任务 会 进入 第 (5) 步 执行 。 

(5) 计算 yi=CHash(cer))% 。 其 中 Hash 为 杂 次 函数 。Share Server 将 计算 的 结果 连 
同 cer、 任 务 号 Task(cer) 和 自己 的 代号 i 送 往 广播 信道 B2。 

(6) Combiner 取 用 上 个 结果 数据 报 , 并 寻找 组 合 G ,ic)。 如 果 找 到 ,就 
计算 


R = (Hash(cer))5 + [T 
=i 
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及 就 是 应 该 得 到 的 签名 。 如 果 没 找到 ,重新 取 用 另外 上 个 结果 数据 报 , 重 复 第 (6) 步 。 
穷 举 所 有 可 能 的 结果 组 合 ,仍旧 没有 找到 匹配 的 c; 则 抛弃 该 任务 。 

(7) Combiner 利用 公开 密 钥 验 证 R 的 正确 性 ,验证 正确 就 将 cer、 各 服务 器 的 ID 号 与 
及 一 起 通过 广播 信道 送 往 Repository Agents 否则 ,向 广播 信道 广播 任务 失败 消息 。 其 他 
Combiner 收 到 任务 失败 消息 后 将 启动 计算 ,重新 计算 该 任务 ,验证 合格 后 都 通过 广播 信道 
送 往 Repository Agent。 计 算 失败 的 Combiner 重新 选择 另外 不 同 的 t 个 结果 (如 果 有 的 
话 ) 重 新 计算 。 

(8) Repository Agent 将 正确 的 cer 与 R 一 起 送 往 数据 库存 档 和 被 查 , 并 通知 其 他 
Combiner 停止 该 任务 。Combiner 收 到 任务 完成 消息 后 抛弃 该 任务 的 数据 。 


14.3.3 ”多 分 享 密 钥 方 案 


Combiner 可 以 安装 在 Share Server 的 后 面 , 比 Share Server 更 难受 到 攻击 。 但 即使 敌 
人 全 部 掌握 一 个 Combiner, 他 也 不 能 推出 秘密 密 钥 4。 即 使 一 个 Combiner 拥有 了 全 部 的 
组 合 ,也 无 法 求解 4。 可 以 证 明 , 当 c; 已 知 ,d Sd; 未 知 时 ,所 有 具有 cj 一 d 一 (di +d, + 
di, Fd ) 这 样 形式 的 方程 全 部 合 在 一 起 ,其 系数 和 矩阵 的 秩 为 ,而 变量 个 数 为 十 1。 
所 以 ,直接 通过 一 个 Combiner 无 法 求 得 秘密 密 钥 。 

虽然 Combiner 从 广播 信道 上 获取 信息 也 不 能 推出 任何 4;, 但 是 , 当 一 个 Combiner 得 
到 所 有 的 组 合 后 ,Combiner 能 够 计算 出 任意 的 d; — d; 的 值 。 也 就 是 说 ,他 能 够 通过 4d; 求 出 
d;。 这 样 ,一 个 Combiner 就 能 够 与 一 个 Share Server 合作 求 出 秘密 d。 这 是 人 们 所 不 希 
望 的 。 

文献 [7] 通 过 将 不 同 的 组 合 分 配给 不 同 的 Combiner 来 阻止 Combiner 与 Share Server 
的 合谋 攻击 ,并 提出 一 个 Combiner 的 安全 条 件 , 即 在 同一 个 Combiner 内 ,任何 方程 的 线性 
组 合 得 到 的 新 的 方程 ,其 变量 的 个 数 大 于 t+。 这样 就 保证 了 一 个 Combiner 必须 同上 个 Share 
Server 合谋 才能 得 到 秘密 密 钥 。 从 理论 上 讲 , 当 每 个 Combiner 只 有 一 个 方程 时 ,该 条 件 就 
得 到 了 满足 。 这 也 说 明 Jing-Feng 方案 在 理论 上 是 可 行 的 。 

文献 L[7] 进 行 了 穷 举 分 析 ,对 大 一 5,t 一 3 来 说 ,需要 8 个 Combiner 才能 放 进 所 有 的 组 
合并 且 保 证 满足 Combiner 的 安全 条 件 。 因 为 需要 的 Combiner 数量 太 多 ,这 样 的 方案 是 不 
能 采用 的 。 文 献 [7] 中 设计 了 多 分 享 密 钥 方案 解决 了 这 个 问题 ,下面 就 来 介绍 这 一 方案 。 

由 于 Share Server 的 分 享 密 钥 较 短 , 可 以 让 每 个 Share Server 拥有 多 个 子 密 钥 。 只 要 
Share Server 不 被 破坏 , 则 他 一 定 可 以 计算 出 正确 的 多 个 结果 。 如 Share Server 1 拥有 两 个 
TB] du 和 di. TES. MY, Share Server 1 求 出 两 个 结果 yn 一 (Hash (cer)) 和 yi; = 
(Hash(cer))"v 。 将 两 个 结果 广播 到 网 络 上 。 

如 果 每 个 Share Server 拥有 mm 个 子 密 钥 , 对 于 工作 协议 的 准备 就 不 再 是 简单 的 C$ 个 
组 合 ,而 是 Ci * z 个 组 合 , 即 对 应 这 么 多 组 合 可 以 求 出 Ci Xe" 个 不 同 的 c 值 。 

为 减少 Combiner 的 数量 ,将 机 器 相同 的 组 合 定义 为 等 价 组 合 ,于 是 得 到 了 C. 个 等 价 
组 合集 。 每 个 等 价 组 合集 中 只 要 有 一 个 组 合 在 Combiner 中 ,就 在 任何 大 于 上台 Share 
Server 正常 的 情况 下 ,能 够 求 出 正确 的 签名 。 设 定 了 一 个 简化 的 安全 条 件 ,并 在 每 个 等 价 组 
合集 中 选取 一 个 组 合 做 代表 ,然后 根据 安全 条 件 ,进行 Combiner 的 分 配 。 下 面 来 描述 具体 
的 操作 过 程 。 
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离线 的 子 密 钥 分 发 器 从 Xm 个 第 一 子 密 钥 中 取出 i 个 ,根据 方程 4 二 dii 十 dz 十 
da, Hedi, +e, 再 通过 作 减 法 可 以 求 出 c。 ,共有 Ci Xi” 种 取 法 , 故 可 以 计算 出 Coin 4 
Jr cao XX Hn Cu" 代表 组 合 ,表示 有 nn 个 c。 EAn 个 方程 组 合 表示 ,每 一 个 方程 
组 合 表示 是 方程 所 对 应 的 上 个 第 一 子 密 钥 di 下 标 标号 (或 者 说 是 变量 的 序号 ) 的 组 合 ,这 样 
的 一 个 方程 所 对 应 的 密 钥 d; 的 标号 为 密 钥 组 合 。 显 然 ,一 个 方程 组 合 内 的 不 同 的 第 一 子 密 
钥 是 在 不 同 的 秘密 分 享 运算 器 内 ,由 于 方程 组 合 表示 只 与 第 一 子 密 钥 d; 下 标 标号 两 位 数字 
庆 有 关 , 所 以 ,组 合 表示 不 泄露 任何 子 密 钥 的 信息 。 比 如 ,每 个 方程 组 合 表示 含 上 个 项 ,每 个 
项 的 数字 是 第 一 子 密 钥 d; 的 下 标 标号 元 ,如 (12,23,31) 就 表示 :一 3 时 的 一 个 方程 组 合 
表示 。 

根据 上 面 定义 的 等 价 组 合 ,可 以 知道 (12,33,41) (11,31,42) 和 (12,33,42) 为 3 个 等 价 
组 合 。 其 中 ,只 要 存在 任意 一 个 组 合 ,就 表示 只 要 这 3 台 机 器 (Share Server), 即 1 号 ,3 号 
和 4 号 机 器 正常 时 就 能 够 求 出 签名 结果 。 当 然 ,Share Server( 秘 密 分 享 计算 器 ) 计 算 的 所 有 
结果 对 最 后 的 结论 可 能 没有 用 处 ,这 些 结果 可 以 在 系统 错误 时 进行 宛 余 ,并 帮助 找到 错误 的 
机 器 。 

由 于 从 Combiner( 秘 密 分 享 合成 器 ) 来 看 ,其 c, 是 已 知 的 ,其 他 都 是 未 知 的 变量 。 合 成 
器 安全 条 件 是 根据 其 方程 和 系统 安全 性 要 求 提出 的 ,安全 条 件 是 : 一 个 秘密 分 享 合成 器 内 
所 含 方程 经 线性 组 合 得 到 的 新 方程 ,其 变量 的 个 数 大 于 to 

满足 Combiner 安全 条 件 ,就 可 以 避免 合成 器 与 分 享 运算 器 对 系统 的 合谋 攻击 。 但 是 ， 
该 条 件 过 于 复杂 ,无 法 用 程序 或 流程 实现 。 因 此 为 了 实现 安全 的 合成 ,必须 有 一 个 可 行 的 算 
法 。 为 实验 目的 ,利用 方程 的 特殊 性 ,可 使 安全 条 件 简化 为 : 一 个 合成 器 内 由 任意 两 个 方程 
的 线性 组 合 得 到 的 方程 ,其 变量 的 个 数 大 于 to 

离线 的 子 密 钥 分 发 器 对 所 有 的 方程 组 合 表示 ,等 价 组 合集 及 对 应 的 c, 值 , 按 合成 器 简 
化 安全 条 件 通过 穷 搜 进行 分 组 ,每 一 分 组 内 的 方程 组 合 表示 是 有 限 的 ,再 按 分 组 的 个 数 对 应 
设置 秘密 分 享 合 成 器 的 个 数 ,对 应 存储 这 些 分 组 的 方程 组 合 表示 及 对 应 的 c 值 。 

只 要 从 每 个 等 价 组 合 的 集合 中 取出 一 个 组 合作 代表 ,然后 将 所 有 等 价 组 合集 合 的 代表 
组 合 放 到 秘密 分 享 合 成 器 中 ,就 可 以 针对 每 种 机 器 组 合 得 到 正确 的 签名 结果 。 

下 面 仍 以 £—3. K —5 为 例 , 说 明子 密 钥 分 发 器 计算 并 分 发 组 合 表示 的 步骤 。 

(1) 先 忽 略 一 个 秘密 分 享 运算 器 有 多 个 第 一 子 密 钥 的 问题 ,根据 C. 求解 全 部 10 种 机 
器 组 合 。 

(152539 2 A is 255) 34), (1535) 014,5). 2 
(3,4,5), 是 5 台 秘 密 分 享 运算 器 任 选 3 台 的 组 合 结果 。 

(2) 对 上 述 求 出 的 10 种 结果 进行 扩展 , 即 对 每 个 结果 求 出 等 价 组 合 , 形 成 10 个 等 价 组 
合集 , 当 每 个 秘密 分 享 运算 器 有 两 个 机 内 密码 号 时 ,每 个 结果 还 有 2t 一 1 个 等 价 的 组 合 , 求 
出 这 些 组 合并 将 他 们 放 在 一 个 等 价 组 合集 里 , 即 每 个 等 价 组 合集 中 有 2t 个 等 价 的 组 合 ,可 
随机 排序 ,如 结果 (1,2,3) 的 等 价 组 合 及 随机 排序 为 (11,21,31)、(12,21,31)、(11,22,31)、 
(12,22,31) (11,21,32)、(12,21,32)、(11,22,32)、(12,22,32) ,形成 一 个 等 价 组 合集 。 

(3) 将 所 有 的 等 价 组 合集 放 在 一 个 大 组 中 ,随机 排序 ,并 准备 若干 个 分 组 。 

(4) 从 大 组 中 依 序 取出 一 个 等 价 组 合集 ,从 该 等 价 组 合集 里 依 序 找 出 一 个 组 合 , 根 据 简 
化 的 安全 条 件 ,通过 穷 搜 进行 分 组 , 即 看 这 个 组 合 能 不 能 放 到 第 一 个 分 组 里 ,如 果 能 则 将 该 
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组 合 放 人 第 一 分 组 里 , 且 一 个 等 价 组 合集 中 只 要 有 一 个 组 合 放 和 人 了 一 个 分 组 中 ,就 抛弃 该 等 
价 组 合集 ;如 果 不 能 , 仍 将 其 放 回 到 该 等 价 组 合集 里 ,并 重新 从 该 等 价 组 合集 中 依 序 取出 下 
一 个 组 合 ,再 根据 简化 的 安全 条 件 , 看 它 能 不 能 放 到 第 一 个 分 组 里 ,如 果 所 有 该 等 价 组 合集 
里 的 组 合 都 不 能 符合 简化 的 安全 条 件 , 即 不 能 放 到 第 一 个 分 组 中 ,用 同样 的 方法 试 第 二 个 分 
组 ,如 果 还 不 行 , 试 第 三 个 分 组 ,依次 下 去 。 该 过 程 执行 完成 后 ,将 所 有 不 空 分 组 的 组 合 表示 
取出 ,每 个 分 组 中 的 组 合 表 示 通 过 管理 允许 的 方式 对 应 预存 人 一 个 秘密 分 享 合成 器 中 。 

C5) 重复 第 (4) 步 ,直到 大 组 中 所 有 的 等 价 组 合集 都 被 取 走 到 分 组 中 为 止 。 

(6) 统计 有 多 少 个 分 组 中 有 组 合 ,并 将 一 个 分 组 中 的 组 合 对 应 送 入 一 个 秘密 分 享 合成 
器 中 预存 。 

CD 在 每 个 有 组 合 的 分 组 中 ,增加 一 些 能 满足 安全 条 件 的 其 他 组 合 ,以 增加 元 余 。 但 在 
增加 元 余 的 过 程 中 , 当 一 个 等 价 组 合集 中 有 一 个 组 合 放 入 了 一 个 分 组 中 时 ,是 不 抛弃 该 等 价 
组 合集 的 。 

通过 上 述 步骤 ,对 于 5 个 秘密 分 享 运算 器 的 2 和 3, 且 每 个 运算 器 存 有 两 个 第 一 子 密 钥 
的 机 内 密码 的 情况 ,计算 结果 如 下 : 

第 一 个 分 组 内 的 9 个 组 合 如 下 。 

(11,21,31) 

(11,22,41) 

(11,32,42) 

(21,32,41) 

(12,21,51) 

(12,31,52) 

(22,31,51) 

(21,42,52) 

(12,22,32) 

第 二 个 分 组 中 的 12 个 组 合 如 下 。 

(11,41,51) 

(31,41,52) 

(11,21,42) 
(12,31,42) 
(21,32,41) 
(11,22,52) 
(12,32,51) 
(21,31,51) 
(22,42,51) 
(32,42,52) 
(12,22,41) 
(12,21,52) 

上 述 结果 说 明 , 只 要 有 两 个 秘密 分 享 合 成 器 就 能 够 对 付 5 个 秘密 分 享 运算 器 。 因 为 实 

际 的 等 价 集合 只 有 10 个 ,而 现在 两 个 秘密 分 享 合成 器 中 已 经 放置 了 共 21 个 组 合 ,说 明 已 经 
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增加 了 很 多 宛 余 。 

当选 择 6 台 秘 密 分 享 运算 器 且 每 个 秘密 分 享 运算 器 存 两 个 第 一 子 密 钥 的 机 内 码 时 ,第 
一 个 分 组 中 可 有 16 个 组 合 , 第 二 个 分 组 中 有 18 个 组 合 。 两 个 秘密 分 享 合成 器 已 经 能 够 产 
生 足 够 的 宛 余 ( 由 于 组 合 数 太 多 ,在 此 不 一 一 列举 ) 。 

实施 时 ,可 让 di 的 比特 数 远 远 小 于 (至 少 小 于 4 售 )c。 的 比特 数 ,如 当 d 为 2048b 的 数 
时 ,c。 为 2048b 的 数 ,di 为 500b 的 数 或 更 少 , 以 保证 秘密 分 享 运算 器 的 运算 速度 ,从 而 提高 
整个 数字 签名 系统 的 运算 速度 。 

每 个 秘密 分 享 合成 器 并 不 存储 针对 所 有 子 密 钥 di 的 所 有 组 合 , 但 所 有 秘密 分 享 合成 器 
存储 内 容 和 的 结果 能 保证 包含 针对 秘密 分 享 运算 器 的 所 有 组 合 。 

由 于 Share Server 中 密 钥 的 长 度 远 小 于 签名 密 钥 的 长 度 ,所 以 增加 子 密 钥 基本 不 影响 
Share Server 的 计算 性 能 。 而 对 于 Combiner 来 说 , 升 寡 计算 只 进行 一 次 。 由 于 方程 个 数 并 
没有 增加 , 故 查找 匹配 的 时 间 也 没有 太 多 的 变化 。 


14.3.4 Jing-Feng 方案 的 安全 性 分 析 


首先 ,一 个 Share Server 的 泄露 或 被 敌人 掌握 只 能 泄露 其 掌握 的 d;。 因 为 d; 是 随机 选 
择 的 ,单个 d; Hd 没有 任何 关系 。 所 以 一 个 d; 不 暴露 秘密 密 钥 d 的 任何 信息 , 即 条 件 信息 
hi H(d|d,))=H(d). HF d, 5j d; 94 i75; 时 是 独立 选取 的 随机 变量 ,所 以 有 HG d; di) 一 
五 (dz)。 即 使 多 个 随机 的 d. 也 不 反映 d 的 任何 信息 。 从 d; 的 产生 过 程 来 说 ,任意 个 Share 
Server 的 泄露 都 不 泄露 秘密 密 钥 d. 

其 次 ,通过 Share Server 到 Combiner 的 广播 信道 也 不 能 掌握 秘密 信息 d。 在 广播 信道 
上 ,只 有 y 一 (Hash(cer))“ 能 够 反映 秘密 密 钥 ,但 通过 y; 求 d; 是 一 个 离散 对 数 问题 ,具有 
5j RSA 算法 基本 相同 的 困难 性 。 也 就 是 说 ,通过 广播 信道 得 不 到 关于 任意 一 个 d; 的 信息 。 
这 是 整个 CA 安全 的 基本 保证 。 

在 得 不 到 任何 d; 的 情况 下 ,任意 多 个 Combiner 合谋 进行 攻击 也 只 能 得 到 最 多 所 有 组 
合 的 方程 。 前 面 已 经 说 明 ,所 有 方程 合 起 来 的 秩 只 有 k 而 变量 的 个 数 却 是 上 十 1。 所 以 无 法 
找到 秘密 d。 当 每 个 Share Server 采用 两 个 以 上 的 子 密 钥 时 ,变量 的 个 数 增加 了 大 个 ,但 方 
程 的 数量 却 可 以 不 增加 。 这 更 加 增 大 了 Combiner 合谋 攻击 的 难度 。 

由 于 系统 满足 Combiner 安全 条 件 。 一 个 Combiner 与 少 于 t 台 Share Server 合谋 不 能 
对 系统 构成 威胁 。 但 多 台 Combiner 与 多 个 Share Server 合谋 可 能 会 对 系统 形成 威胁 。 在 
满足 Combine 安全 条 件 时 ,合谋 的 攻击 也 是 有 条 件 的 。 合谋 攻击 成 功 的 条 件 与 对 
Combiner 组 合 的 发 放 算 法 密切 相关 。 合 理 的 组 合 发 放 算法 能 够 增加 合谋 攻击 的 难度 。 利 
用 Share Server 的 多 个 子 密 钥 和 Combiner 的 安全 条 件 , 抵 制 多 个 Combiner 和 一 个 Share 
Server 合谋 攻击 是 容易 的 。 从 理论 上 讲 , 随 着 单个 Share Server 子 密 钥 的 增加 ,变量 个 数 会 
成 倍增 加 ,而 放 在 Combiner 的 方程 的 个 数 却 可 以 不 增加 。 这 样 ,单个 子 密 钥 在 Combiner 
中 的 方程 中 出 现 的 次 数 就 会 很 少 ,在 要 求 极 高 安全 的 场合 ,让 每 个 子 密 钥 只 在 一 个 方程 中 出 
现 一 次 。 在 这 种 极限 情况 下 ,所 有 的 方程 组 合 就 满足 Combiner 的 安全 条 件 。 也 就 是 说 ,多 
个 Combiner 联合 就 相当 于 满足 Combiner 安全 条 件 的 一 个 Combiner ,此 时 的 安全 是 有 保 
障 的 。 
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14.3.5 Jing-Feng 方案 的 特色 


CD 双 层 结构 。 采 用 了 两 层 式 的 结构 ,将 现 有 方案 中 的 单 层 秘密 分 享 分 解 成 双 层 ,克服 
了 文献 []] 的 方案 中 分 享 器 增加 导致 的 密 钥 管理 困难 ,也 避 开 了 其 他 方案 中 的 复杂 理论 问 
题 。 同 时 , 双 层 方案 也 增加 了 对 手 攻击 的 难度 ,从 而 增加 了 安全 性 。 由 于 两 层 系统 使 用 不 同 
的 算法 \ 不 同 的 系统 结构 , 子 密 钥 的 类 型 . 密 钥 管理 和 存储 也 都 不 一 样 ,攻击 两 层 就 更 加 困 
难 。 而 我 们 的 两 层 结构 保证 ,即使 一 层 全 部 遭 到 攻击 和 控制 ,攻击 者 也 没有 办 法 获得 CA 
私 钥 。 

(2) 原理 简单 。 采 用 的 原理 非常 简单 ,也 容易 证 明 方案 的 安全 性 。 同 时 ,方案 对 参数 的 
选择 没有 任何 限制 ,不 要 求 是 强 素数 。 

(3) 无 计算 同步 问题 。 双 层 式 秘密 分 享 的 方案 突破 了 已 有 方案 的 同步 缺陷 。 也 就 是 
说 ,任务 的 管理 者 不 需要 知道 谁 会 参与 计算 ,从 而 减轻 任务 管理 系统 的 复杂 性 ,将 密 钥 的 管 
理 和 运算 彻底 地 同 任务 管理 者 或 客户 机 分 开 。 这 从 另 一 个 方面 来 说 ,也 增加 了 整个 系统 的 
可 管理 性 和 安全 性 ,实现 了 一 种 自制 的 结构 。 同 时 ,不 同步 可 以 使 得 当 有 一 台 设备 故障 时 ， 
任务 的 管理 者 不 需要 了 解 , 也 不 需要 重新 发 布 任务 。 

(4) 添加 或 删除 设备 简单 。 当 添加 一 台 Share Server 时 ,只 需要 由 Key Center WE Æ 
成 几 个 随机 数 ,并 分 配 代 号 (Key Center 也 可 以 在 第 一 次 初始 化 时 就 生成 好 多 个 这 样 的 参 
数 )。 然 后 将 这 些 参 数 装 入 Share Server。 此 时 该 Share Server 就 可 以 上 线 运行 。 然 后 针对 
Share Server 生成 各 个 Combiner 的 组 合 和 密 钥 ,并 将 这 些 密 钥 加 入 到 Combiner 中 ,这 
样 就 完成 了 一 个 Share Server 的 增加 。Combiner 的 增加 就 更 加 容易 。 计 算 一 个 新 的 安全 
组 合集 ,然后 安装 进 新 增 的 Combiner 中 , 这 样 系统 的 增加 就 完成 了 。 删 除 一 台 Share 
Server 设备 可 以 不 做 任何 工作 ,也 可 以 清除 Combine 中 相应 机 器 代号 的 组 合 。 删 除 
Combiner 不 需要 做 任何 工作 。 

(5) 效率 高 。 与 其 他 方案 相 比 ,Jing-Feng 方案 总 的 效率 较 高 。 计 算 主 要 消耗 在 升 寡 
上 。 对 4096b 的 RSA 来 说 ,Jing-Feng 方案 的 Share Server 只 计算 200b AVF HE. tke 3 个 
Share Server 就 计算 了 600b 的 升 轿 ,加 上 元 余 计 算 的 部 分 ,就 是 1200b AIF HE. Combiner 
计算 4096b 的 升 宗 。 总 共计 算 5296b 的 升 血 。 将 签名 所 需 的 升 壬 为 一 次 签名 计算 量 ,Jing- 
Feng 方案 的 总 计算 量 为 1. 3 次 签名 。 如 果 降 低 Share Server 所 拥有 密 钥 的 长 度 ,总 的 签名 
计算 量 还 会 降低 。 与 其 他 方案 相 比 ,由 于 其 他 方案 的 单 层 结构 限制 ,总 的 计算 量 都 是 t 次 签 
名 以 上 。Shoup 的 方案 消除 了 计算 前 的 同步 , 当 Share Server 的 数目 较 大 时 ,其 计算 量 大 
Fik. 

对 于 产生 一 次 签名 的 时 间 来 说 ,Jing-Feng 方案 比 其 他 方案 略 慢 。 两 层 结构 需要 串 行 操 
作 , 故 需要 1. 3 次 的 签名 时 间 。 当 忽略 掉 为 部 分 签名 检测 而 进行 的 计算 时 间 , 则 其 他 方案 只 
需要 一 次 签名 的 时 间 。 

总 之 ,Jing-Feng 方案 是 在 现 有 人 侵 容 忍 CA 方案 的 基础 上 ,提出 的 一 套 新 的 和 人 侵 容 忍 
CA 方案 ,其 特点 是 使 用 了 非常 简单 的 原理 ,安全 性 容易 证 明 ; 采 用 了 双 层 体系 结构 ,解决 了 
计算 前 的 同步 问题 ,并 提高 了 安全 性 能 , 且 方 案 的 效率 也 比较 高 。 表 14. 1 给 出 了 几 个 典型 
方案 的 一 个 比较 。 


a 
第 14 章 ARBRCARK 4 


表 14.1 几 个 典型 方案 的 比较 


方 案 Jing-Feng 方案 ITTC 方案 Shoup 方 案 Frankel 方案 
一 次 签名 的 总 计算 量 1 t t t 
签名 时 间 1 1 1 1 
计算 前 同步 不 需要 需要 不 需要 需要 
系统 安全 层 2 1 1 1 


14.4 ”自治 协同 的 入 侵 容忍 CA 协议 


CA 私 钥 的 安全 保护 问题 是 PKT 系统 设计 中 需要 考虑 的 首要 问题 ,为 了 保护 CA RAI 
已 经 提出 了 很 多 种 方案 ,包括 CA 离线 方案 、 入 侵 容忍 CA 方案 等 。 其 中 Jing Feng 人 侵 容 
RCA 方案 是 一 个 相对 比较 先进 的 方案 ,具有 明显 的 优点 ,其 结构 简单 、 性 能 高 效 且 安全 性 
也 比较 高 ,其 多 级 结构 不 仅 有 创新 性 ,而 且 也 提高 了 安全 性 。 但 是 它 还 存在 以 下 一 些 不 足 
之 处 。 

CD 采用 一 个 密 钥 分 发 中 心 来 产生 和 分 割 CA 私 钥 是 危险 的 ,一 旦 这 个 中 心 被 攻击 者 
控制 ,PKI 系统 的 核心 秘密 将 受到 危及 。 实 际 上 ,在 现实 中 ,寻找 或 建立 一 个 完全 可 信 的 中 
心 都 是 极其 困难 的 。 

(2) 如 果 Share Server 或 Combiner 受 攻击 者 控制 后 ,给 出 了 一 个 错误 的 签名 ,系统 没 
有 能 力 发 现 是 哪 一 台 服 务 器 发 生 了 错误 ,因为 该 方案 还 缺乏 部 分 签名 的 验证 。 

(3) 由 于 无 法 发 现 是 哪 一 台 服 务 器 的 签名 出 错 , 在 这 种 情况 下 ,系统 就 被 迫 必须 全 面 更 
新 所 有 的 部 分 私 钥 , 尽 管 其 中 的 一 些 更 新 是 不 必要 的 。 

考虑 到 上 述 问题 ,在 借鉴 了 Jing-Feng 方案 优点 的 基础 上 ,在 其 系统 结构 上 又 进行 了 改 
进 , 以 达到 自治 与 协同 的 目标 。 

我 们 加 强 了 每 个 服务 器 的 独立 性 ,使 其 不 再 依赖 于 外 部 一 个 可 信 的 中 心 , 从 部 分 私 钥 的 
产生 、 部 分 私 钥 的 更 新 到 部 分 签名 都 由 服务 器 自行 完成 ,实现 自治 的 目标 。 另 外 ,整体 的 
CA 私 钥 和 签名 结果 ,是 由 所 有 的 服务 器 运用 分 布 式 的 算法 协同 产生 的 ,没有 任何 一 台 服 务 
器 能 单独 决定 或 获得 CA 私 钥 ,同样 也 不 能 单独 完成 签名 ,只 有 达到 了 门限 值 数 量 的 服务 器 
才能 完成 这 一 切 , 从 而 实现 更 好 的 人 侵 容 忍 效 果 。 

该 方案 是 一 个 完整 的 人 侵 容忍 CA 的 分 布 式 建立 和 安全 运行 方案 。 它 具有 以 下 4 个 主 
要 特点 。 

CD CA 的 密 钥 和 部 分 私 钥 都 是 由 所 有 服务 器 分 布 式 产生 ,不 再 由 一 个 单独 的 密 钥 分 发 
中 心 产生 并 分 割 CA 私 钥 , 因 为 这 样 一 个 中 心 将 成 为 系统 的 最 大 弱点 ,并 且 违 背 了 入 侵 容忍 
的 基本 思想 。 

(2) 在 CA 运行 一 段 时 间 后 ,可 以 对 所 有 服务 器 的 部 分 私 钥 进行 更 新 ,而 并 不 改变 CA 
的 私 钥 。 

(3) 当 有 一 台 服 务 器 给 出 了 错误 的 部 分 签名 结果 时 ,系统 可 以 迅速 地 找到 是 哪 台 服务 
器 发 生 了 错误 。 
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(4) 系统 在 运行 上 仍然 保持 了 Jing-Feng 方案 的 性 能 。 

为 描述 方便 起 见 ,本 节 采 用 以 下 记号 和 假设 。 

记 RSA 的 全 部 参数 为 KK 一 (N,P,Q,e,d), 其 中 N A e 是 公 钥 ,d 是 私 钥 ,P 和 Q 是 构 
成 NN 的 两 个 大 素数 因子 , 即 N 一 PQ。 欧 拉 函 数 PCN) 一 (P 一 1D)CQ 一 1) 。 

假设 共有 k 台 Share Server, 编 号 为 Si 一 Si c 台 Combiner, 编 号 为 Sii ~S, (n= ke. 
考虑 上 台 Share Server 加 1 台 Combiner 的 签名 模式 。 系 统 满足 (t 十 1,n) 门 限 签名 方案 的 
要 求 。 

在 一 个 (t,) 门 限 签名 方案 中 ,将 CA 私 钥 d 在 所 有 服务 器 集 ( 包 括 Share Server 和 
Combiner) P 中 进行 分 配 ,n 表示 服务 器 个 数 ,t FETT PRA e or ,满足 以 下 条 件 。 

(OD P 中 的 任意 一 个 子 集 A ,只 要 其 包含 的 元 素 大 于 等 于 1, 即 |A| 之 i, 该 子 集 就 能 联合 
恢复 CA 私 钥 d。 

(2) P 中 的 任意 一 个 子 集 A, 只 要 其 包含 的 元 素 小 于 t, 即 |A|<zi, 该 子 集 就 不 可 能 联合 
恢复 CA 私 钥 d。 

(3) 满足 条 件 (1) 的 子 集 就 能 完成 一 个 CA 签名 ,而 满足 条 件 (2) 的 子 集 无 法 完成 或 者 
伪造 CA 签名 。 

(4) 在 CA 私 钥 的 整个 生命 周期 内 ,包括 CA 私 钥 的 产生 , 拆 分 .使 用 ,该 私 钥 都 不 会 被 
重 构 出 来 。 

(5) 签名 过 程 不 影响 每 个 部 分 私 钥 的 安全 性 。 


14.4.1 系统 结构 


CA 协议 系统 结构 如 图 14. 4 所 示 , 除 密 钥 分 发 中 心 外 ,系统 的 主要 部 件 都 继承 自 Jing- 
Feng 方案 , 且 仍然 保持 其 双 层 签名 结构 。 


DB Agent 


sry 


Combinerl Combiner2 Combiner3 


Share Share Share Share Share 
Server] Server2 Server3 Server4 Servers 


ait 4 i L 


RA Agent 


图 14.4 自治 协同 的 入 侵 容忍 CA 协议 系统 结构 


RA Agent 是 与 RA 系统 的 接口 ,负责 从 RA 系统 接收 签发 证 书 的 请 求 ,然后 将 需要 签 
名 的 消息 发 送 给 内 部 的 Share Server, Share Server 和 Combiner 是 负责 签名 的 CA 部 件 ， 
各 自 拥 有 自己 的 部 分 私 钥 信 息 。 签 名 时 ,Share Server 使 用 它们 拥有 的 部 分 私 钥 做 部 分 签 
名 ,而 Combiner 根据 Share Server 的 计算 结果 及 拥有 的 部 分 私 钥 信 息 ,合并 计算 出 最 终 的 
签名 结果 。 签 名 结果 同时 发 送 给 RA Agent 和 DB Agent, DB Agent 是 与 数据 库 的 接口 ， 
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在 获得 Combiner 的 计算 结果 后 ,将 其 存 人 数据 库 中 。 
14.4.2 BADR 


CA 私 钥 的 拆 分 方式 保持 了 Jing-Feng 方案 的 特点 , 即 每 个 Share Server S; 1<i<k) 

掌握 着 一 个 随机 数 d; 作为 部 分 私 钥 。 然 后 针对 这 k 个 随机 数 中 的 任意 上 个 数 的 组 合 ,计算 

cj — d — (di, +d, + +d,) (14-5) 

并 保存 is yin eer vie 和 对 应 的 cj ,总 共产 生 C, 个 组 合 。 最 后 将 这 Ci AC sistic) FH 

分 配给 所 有 的 Combiner 保存 。 此 外 ,为 了 部 分 签名 的 更 新 和 验证 ,每 台 服 务 器 还 需要 保存 
一 些 额 外 的 信息 ,这 将 在 下 面 介绍 。 


14.4.3 CA 密 钥 的 产生 与 分 割 


这 里 假定 CA 系统 使 用 的 是 RSA 算法 ,其 RSA 密 钥 的 产生 可 分 为 以 下 两 步 。 

(1) 由 Share Server 和 Combiner 合作 分 布 式 产生 两 个 大 素数 P 和 Q, 然 后 分 布 式 计算 
NN 二 PQ, 在 这 一 过 程 中 PP 和 Q 不 会 被 任何 一 台 服 务 器 获知 ,最 终 大 家 都 只 知道 N 的 值 。 

(2) 由 于 RSA 的 公 钥 指数 。 是 一 个 公开 的 值 ,并 且 通 常 是 一 个 定 值 ,所 以 只 要 根据 N 
Ale 的 值 ,分 布 式 决定 私 钥 d, 产 生 各 个 服务 器 的 部 分 私 钥 。 同 样 在 这 一 个 过 程 中 ,没有 一 
台 服 务 器 会 得 到 d 的 具体 值 ,它们 唯一 能 得 到 的 只 能 是 自己 拥有 的 部 分 私 钥 。 

协议 的 前 提 假 设 是 : 在 CA 密 钥 的 产生 和 分 割 过 程 中 ,都 假定 所 有 服务 器 是 诚实 的 , 即 
所 有 服务 器 都 会 如 实地 遵照 协议 要 求 进行 运算 和 操作 ,但 是 协议 保证 了 无 论 服务 器 是 否 诚 
SE ,都 不 会 对 CA 的 密 钥 安全 产生 威胁 。 另 外 , 除 广播 以 外 ,服务 器 之 间 的 通信 都 是 通过 加 
密 信道 (如 SSL) 进 行 的 。 为 了 加 强 安全 , 密 钥 产 生 和 分 割 的 整个 过 程 中 ,CA 系统 都 处 于 离 
线 状态 。 


14.4.4 公 钥 的 分 布 式 产生 方案 


这 里 介绍 两 种 公 钥 的 分 布 式 产生 方案 。 


1. 方案 I 

作为 产生 CA 密 钥 的 第 一 步 , 先 产生 RSA 密 钥 中 的 N。 所 有 的 n 台 签 名 服务 器 (包括 
Share Server 和 Combiner) 都 共同 参与 这 一 过 程 ,分 布 式 产生 N. 

文献 [10] 和 [11Jj 描 述 了 一 个 在 多 台 服 务 器 间 分 布 式 产生 N 的 基本 协议 ,其 基本 过 程 都 
是 源 于 一 个 相同 的 安全 多 方 计算 协议 一 一 BGW 多 方 计 算 协议 ,在 此 将 同样 采用 一 个 简化 
的 BGW 协议 完成 N 的 计算 。 产 生 的 基本 过 程 如 下 。 

(1) 每 台 服 务 器 Si(i 二 1,2,…,n) 都 产生 两 个 随机 大 整数 p; 和 9 ,具体 位 数 取决 于 系 
统 对 RSA 位 数 的 要 求 。 在 下 面 的 整个 计算 过 程 中 ,这 些 随 机 数 都 只 有 产生 它 的 服务 器 知 
道 , 不 对 任何 人 公开 。 

(2) 采用 简化 的 BGW 协议 分 布 式 计算 N— Cpi peH BO 《qi 十 qz 十 … 十 q,)。 协 
议 保 证 了 在 这 一 过 程 中 ,除了 最 终 公开 的 N 以 外 ,不 会 有 任何 有 关 p: 和 g; 的 信息 被 泄露 。 

(3) 测试 N 是 否 是 两 个 大 素数 的 乘积 ,如 果 是 , 则 过 程 结束 ;否则 ,重新 返回 第 (1) 步 。 

从 这 个 基本 过 程 可 以 看 出 ,在 计算 结束 之 后 ,N 应 该 是 两 个 大 素数 P 和 Q 的 乘积 , 且 满 
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E P= pitp ++p, Q= @ 十 @ 十 … 十 gs。 所 以 ,这 个 N 是 符合 RSA 算法 要 求 的 。 
首先 介绍 简化 的 BGW 协议 。 在 此 之 前 ,每 台 服 务 器 都 已 经 产生 了 两 个 秘密 的 p; 和 
qi, 这 一 步 的 工作 就 是 计算 N= (pit pote tp.) (qi 十 qz 十 … 十 q,), 且 不 泄露 所 有 的 p; 和 
q 的 任何 信息 。 简 化 的 BGW 协议 的 基本 过 程 如 下 。 
D 首先 系统 必须 事先 约定 一 个 大 素数 P ,满足 Pu 之 N, 以 下 BGW 协议 的 各 项 计算 
都 是 在 模 P, 下 进行 的 。 


D im iF | 每 一 台 服 务 器 S.C 一 1,2,…,) 才 产生 两 个 加 次 随机 多 项 式 f. 和 


gi 以 及 一 个 2m 次 随机 多 项 式 h; ,满足 f:(0) 二 p; ,gi(0) 二 gi,hi(0) 二 0。 多 项 式 的 其 余 系数 
都 是 Zr, 上 的 随机 数 。 
(3) 每 一 台 服 务 器 S; 都 分 别 计算 下 列 3n 个 值 : 
Pig fq; = BD hig —hG 1= a 
(4) 每 一 台 服 务 器 S, 都 发 送 给 服务 器 S; 一 个 三 元 组 (pij qu; hu G1. 2, m. 
这 样 ,每 一 台 服 务 器 Si 就 获得 了 buusbugs s Paisij sanj Hh; sh2,; the 
C5) 根据 第 (4) 步 获得 的 信息 ,每 一 台 服 务 器 S; 都 能 计算 : 


Ni = COI 2194) È h;i mod P, 
然后 广播 N, ,告知 其 他 所 有 的 服务 器 。 
(6) 此 时 每 一 台 服 务 器 都 获得 了 Ni INS en NS EN (z) 是 以 下 多 项 式 ， 


NG) — (( 3 oYX ES Dh G2) mod P, 
显然 有 NG) = Ni, 共 nn 个 方程 。 而 N(z) 为 2m 次 多 项 式 且 2m < 2, 所 以 每 台 服 务 器 都 可 


以 根据 此 ?个 方程 解 出 多 项 式 N (x) 的 各 项 系数 ,得 到 N (z) 的 具体 表达 式 。 

(7) 最 后 ,每 一 台 服 务 器 都 计算 N (0) 的 值 ,而 

NO = (27/00) (3100) Bibs) = (Xa) (Za) N 

这 样 , 就 通过 分 布 式 多 方 计 算 获 得 了 RSA 密 钥 中 N 的 值 。 文献 [11] 说 明了 在 BGW 
协议 中 ,即使 有 m 台 服 务 器 共 谋 ,也 无 法 获得 任何 其 他 p: 和 g; 的 信息 ,因此 也 就 无 法 得 到 
N 的 分 解 信息 。 

接 下 来 测试 N 的 合法 性 。 从 上 面 的 步骤 可 以 看 出 ,各 个 服务 器 的 p. 和 9i; 都 是 随机 选 
取 的 ,因此 计算 出 来 的 N 可 能 并 不 符合 RSA 算法 的 要 求 , 即 N 不 一 定 是 两 个 素数 之 积 ,为 
此 必须 检查 N 的 合法 性 。 当 然 ,在 这 个 测试 过 程 中 ,仍然 需要 保证 各 自 的 p: A a 的 机 密 
性 , 绝 不 能 泄露 给 他 人 。 

首先 要 说 明 一 个 事实 : 设 P= pi tpt tp Q= qi 十 qz 十 … 十 q,, 且 都 是 素数 ,NN 二 
PQ, 则 对 任意 的 a€ Zx ,都 有 下 式 成 立 , 即 

aP = ] (mod N) 
这 是 因为 由 数论 知识 可 知 ,对 任意 的 a€ ZK ,都 有 
a* = 1 (mod N) 


而 
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g(N) = (P—1)(Q— D = PQ+1—P—Q=N+1—P—-Q 
所 以 上 述 事实 成 立 。 
根据 上 述 事 实 可 以 构造 下 面 的 测试 协议 。 
(1) 首先 在 协议 执行 之 前 ,系统 必须 事先 约定 一 个 素数 a。 
(2) 服务 器 S, 计算 a, =at Aa mod N ,其 余 的 服务 器 S; 计算 a; 二 a ^ “mod N。 
(3) 所 有 的 服务 器 都 广播 它们 计算 出 来 的 a;。 
(4) 每 台 服 务 器 都 可 以 计算 下 式 , 即 


A= TI amod N 
i=l 


(5) 每 台 服务 器 都 可 以 检查 A 的 值 ,如 果 AAL 则 N 不 合法 ;否则 测试 通过 。 
首先 该 测试 协议 是 可 靠 的 (也 称 正确 的 或 完备 的 、 完 全 的 )。 这 是 因为 


A= II a; = ANP = GNI OUT Gps e 


=a? god N 

根据 上 述 事 实 ,如 果 P 和 Q BRM. A=1 就 必然 成 立 。 所 以 道 否 命题 也 成 立 , 即 如 果 
AA1, A WHE N 不 合法 。 但 是 ,A=1 仅仅 是 N 合法 的 一 个 必要 条 件 而 非 充分 条 件 , 即 如 
JR A 二 1, 并 不 能 判定 N 合法 。 所 以 有 可 能 产生 一 个 N, 它 并 不 是 两 个 素数 之 积 , 却 又 能 通 
过 上 面 这 个 测试 协议 。 然 而 ,文献 [12] 证 明了 这 种 情况 出 现 的 概率 小 于 1/10”。 因 此 ,根据 
AZL TIHE N 肯定 不 合法 ;而 A — 1 的 情况 下 ,NN 不 合法 的 概率 小 于 1/10 ,从 而 能 以 
压倒 性 的 概率 判定 N 是 合法 的 。 所 以 测试 方案 是 足够 可 靠 的 。 

其 次 ,说 明 该 测试 协议 是 安全 的 。 这 是 因为 在 整个 方案 中 ,每 个 服务 器 向 外 界 泄露 的 只 
有 a;。 要 想 从 a; 获得 p; 和 9g;, 实 际 上 与 攻击 RSA 算法 相同 ,安全 性 仅仅 取决 于 pita 的 
大 小 。 所 以 ,只 要 p Mq: 足够 大 ,在 RSA 算法 是 安全 的 假设 下 ,测试 协议 也 是 安全 的 。 


2. JI 

方案 工 在 基本 步骤 上 和 方案 I 相同 ,也 分 为 3 步 : 随机 生成 p. 和 qi, 分 布 式 计算 N, 分 
布 式 测试 N 的 合法 性 。 其 主要 区 别 在 于 协议 的 主体 部 分 , 即 分 布 式 计算 N 上 。 

关于 多 方 计算 RSA 公 钥 N 已 有 一 些 研 究 ,方案 I 中 使 用 了 BGW 协议 计算 方法 ,在 这 
个 协议 中 ,如 果 参 与 计算 的 服务 器 中 有 Ln/2 12-1 台 共 谋 就 可 以 得 到 N。 而 文献 [13] 中 也 提 
出 了 一 种 多 方 计算 协议 ,尽管 这 个 协议 的 效率 比 文献 L[10] 中 的 效率 略 低 , 但 是 保证 了 只 有 所 
有 服务 器 共 谋 才 可 能 获得 六 ,更 大 程度 地 保障 了 安全 性 。 虽 然 已 经 有 一 些 针 对 文献 L[13] 中 
的 两 方 协议 的 攻击 结果 ,但 却 未 能 攻击 其 多 方 协议 。 因 此 ,可 以 在 文献 [13] 中 的 方法 的 基础 
上 完成 N 的 多 方 计算 。 产 生 N 的 具体 协议 如 下 。 

(1) 每 台 服务 器 Si(i 一 1,2,…,z) 都 产生 两 个 随机 正 整数 p. 和 qi。 在 下 面 的 整个 计算 
过 程 中 ,这 些 随 机 数 都 只 有 产生 它 的 服务 器 知道 ,不 对 任何 人 公开 。 以 下 的 步 又 就 是 计算 
N= (加 十 加 十 … 十 加 ) (qi 十 qz 十 … 十 q,)。 协 议 保 证 了 在 这 一 过 程 中 ,除了 最 终 公 开 的 N 
以 外 ,不 会 有 任何 有 关 p. 和 g; 的 信息 被 泄露 。 

(2) 每 台 服务 器 Si(i 一 1,2,…,z) 都 随机 产生 一 个 RSA 密 钥 对 : ATH CM, ,ei) MMA 
dio Krh M; 应 足够 大 , 且 满 足 M; 宇 2Ni( 其 中 Ni 是 N 的 最 大 可 能 值 ,由 系统 事先 选 定 ) 。 
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(3) 每 台 S, 再 随机 产生 一 组 a; G— 1,2, n) HEY Aj BE .0<a;<N,, HS) as = 0, 
(4) 每 台 S, 都 广播 以 下 四 元 组 : 
(M; ,ei, ps mod M; ,gr mod M;) 
从 而 所 有 服务 器 都 可 以 得 到 m 个 这 样 的 四 元 组 。 

(5) 任 取 一 对 (S; S) ,进行 以 下 操作 : S; 随机 产生 了 个 z+,(T 是 一 个 预先 约定 的 值 )， 
WALD. xz, 二 1, 然 后 使 用 这 了 个 随机 数 将 (piq;)“%mod M; HFM T. 6, Bl Cp;q;2.)* mod M; 
(wu 二 1,2,…,T)。 运 用 相同 的 方法 ,S; 可 以 将 (pjqi)%mod M; fl a? mod M, 也 同样 拆 成 
工 份 。 这 样 S, 就 得 到 了 3 个 数 , 然 后 将 这 3T 个 数 以 随机 顺序 发 送 给 S;。 至 此 ,S; 可 以 使 
用 其 私 钥 di 将 这 ST 个 数 分 别 解密 ,并 将 它们 相 加 ,得 到 

As 5. ba. t Dd baa. ! > asa 
—(p34;-t piqi t aj) mod M; 
因为 M; 是 一 个 足够 大 的 数 ,显然 就 有 A; p; Piqitay o 

(6) 所 有 服务 器 两 两 之 间 都 进行 第 (5) 步 的 操作 ,完成 后 每 台 服 务 器 S: 都 可 以 得 到 
个 Ai G71,2,7 1, IEEE S: 就 可 以 计算 N; = 》) A。 

CD 每 台 S, 都 广播 其 得 到 的 Ni。 

(8) 所 有 服务 器 都 可 以 计算 

DN: = 243A = [E D, a + pa) + 3M 
由 于 a, =0, 所 以 由 上 式 可 得 
SN. = 20i + po tee + pn qi tan) 一 2N 

(9) 最 后 将 第 (8) 步 的 >),N, 除 以 2, 就 得 到 了 RSA 公 钥 N。 并 且 每 台 服务 器 都 可 以 
计算 得 到 。 

至 此 ,所 有 服务 器 就 通过 分 布 式 多 方 计算 获得 了 一 个 N 的 具体 值 。 文 献 [13] 中 指出 ， 
只 有 所 有 服务 器 联合 , 才 可 能 获得 破解 协议 ,获取 CA 秘密 ,这 显然 已 远 远 超出 门限 签名 方 
案 的 要 求 。 

方案 开 的 分 布 式 产生 N 的 协议 ,虽然 与 方案 工大 不 相同 ,但 是 它们 最 终 获 得 的 结果 都 
一 样 , 即 每 个 S; 拥有 p: 和 gi,N 二 (pi 十 pz 十 … 十 pr) (qi 十 qz 十 … 十 g,)。 所 以 ,仍然 采用 方 
案 工 的 测试 协议 可 以 测试 方案 了 的 NN 的 合法 性 。 


14.4.5 私 钥 的 分 布 式 产生 方案 


根据 入 侵 容 忍 思想 的 要 求 ,CA 私 钥 的 产生 应 受到 最 严格 的 控制 ,这 个 过 程 同 样 也 需要 
分 布 式 完成 ,以 保证 在 这 个 过 程 中 没有 一 个 服务 器 可 以 单独 获知 CA 私 钥 ,门限 数量 以 下 的 
服务 器 的 联合 ,也 无 法 从 这 个 过 程 中 窃取 CA 私 钥 。 

为 了 达到 保护 CA 私 钥 的 目的 ,并 不 直接 生成 CA 私 钥 d, 而 是 分 布 式 生成 每 台 服务 器 
的 部 分 私 钥 ,而 d 实际 上 就 是 多 个 部 分 私 钥 的 和 。 在 这 一 生成 过 程 中 ,每 台 服务 器 都 无 法 
获知 私 钥 d 的 任何 信息 ,也 不 对 外 泄露 其 部 分 私 钥 的 任何 信息 。 

通过 14. 4. 4 小 节 的 计算 ,已 经 获得 RSA 密 钥 中 的 N,RSA AG e 也 在 事先 约定 ,事实 
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上 ,实际 应 用 中 。 通常 是 一 个 定 值 ,如 e 一 65537。 这 一 节 就 要 根据 N 和 e 及 各 台 服 务 器 掌 
握 的 p; 和 9g;, 通 过 分 布 式 多 方 计算 得 出 各 个 部 分 私 钥 。 最 终 部 分 私 钥 的 分 割 结 果 应 是 
14.4.2 小 节 中 的 分 割 结果 :Share Server 各 自 拥有 部 分 私 钥 d;, 再 根据 式 (14-5) 计 算出 C, 
个 cj ,将 它们 平均 分 配给 Combiner, 分 配方 案 遵循 Jing-Feng 方案 的 说 明 。 

总 之 ,我 们 的 目的 如 下 。 

CD 根据 14. 4. 2 小 节 的 密 钥 分 配方 式 , 产 生 各 个 服务 器 的 部 分 私 钥 ,并 且 所 有 服务 器 
拥有 的 部 分 私 钥 只 有 自己 知道 ,在 部 分 私 钥 的 产生 过 程 中 , 绝 不 能 泄露 给 任何 人 。 

(2) 产生 的 部 分 私 钥 ,确实 是 CA 私 钥 d 的 分 割 ,这 个 a 值 由 N 和 e 确定 ,但 所 有 人 只 
知道 这 个 a 确实 存在 , 却 不 能 有 任何 人 知道 它 确切 的 值 。 

G) 只 有 门限 数量 的 服务 器 联合 , 才 可 能 获得 确切 的 do 

下 面 介绍 两 种 方案 。 


1. 方案 I 

方案 工 部 分 借鉴 了 文献 [14] 中 的 思想 ,但 是 文献 [14] 中 的 方案 是 针对 所 有 服务 器 共同 
参与 签名 的 CA 结构 ,适用 的 环境 与 该 方案 大 相 径 庭 ,无 法 在 此 使 用 。 因 此 这 里 提出 了 一 种 
适用 于 Jing-Feng CA 系统 的 新 方案 。 具 体 的 分 布 式 产生 协议 如 下 。 

(1) 每 台 Share Server S, 都 产生 一 个 随机 大 整数 d; ,这 个 d; 就 作为 他 们 的 部 分 私 钥 。 

(2) 任 取 t 台 Share Server( 设 为 Si, Si, 25S ) 和 一 台 Combiner( 设 为 S;) 为 一 种 组 
合 ,开始 以 下 步骤 。 

(3) RABY n & S, 都 产生 一 个 随机 大 整数 x;。 

(4) Si 计算 pi 二 NN 十 1 一 一 q1 ,其 他 S; 计算 gi 二 一 p; 一 q;(1 过 i<n), 则 显然 有 
ypCN) 王 Pi 十 和 十 … 十 Pr。 

(5) 每 台 服务 器 都 各 自 计算 7; 二 gi 十 rie ,然后 广播 % 

(6) 获得 所 有 广播 的 y. 后 ,每 台 服 务 器 都 计算 下 式 , 即 

YEN +e + = pN) + Re 

其 中 ,R=ni 十 rz 十 … 十 r,。 

(7) 由 于 RSA 算法 要 求 e 必须 与 p(N) 互 素 ,显然 e My 也 互 素 ,从 而 所 有 服务 器 都 可 
以 根据 扩展 的 欧 几 里 德 算法 计算 出 x Al y ,满足 zy 十 ye 一 1, 即 zpg(N) 十 (xR 十 y)e 二 1。 $ 
d 一 zR 十 y, 则 ed 一 1 一 zpCN) ,从 而 显然 有 ed 一 1 mod oN) , 据 此 可 以 用 这 个 & 作为 CA 私 
$H ,并 且 此 时 也 无 人 知道 d 的 值 。 

(8) 每 台 服 务 器 S, 按 以 下 规则 计算 一 个 K;。 

(D 如 果 该 服务 器 是 第 (2) 步 中 选择 的 Share Server, WIE K; 二 zr; 一 d;。 

© 如 果 该 服务 器 是 第 (2) 步 中 选择 的 Combiner, 则 其 K; =ar; +y. 

© 如 果 该 服务 器 不 是 以 上 两 种 情况 , 则 其 K: =ar; 

(9) 第 (2) 步 中 选择 的 Combiner S; 产生 一 个 随机 大 整数 E, ,然后 将 E, 发送 给 Si ,Si 
计算 E, SE +K ia Si BE, 再 发 送 给 S: ,S: 同样 计算 E; — Ei Koo ,以 此 类 推 ,S， 
最 后 将 得 到 


BE, = EG YE 
i=1 
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(10) S, 把 得 到 的 EE, 再 发 送 给 Si S; 就 可 以 计算 


cj =E, — Es = >) Ki = zR +y— (di +d, - d) 


—d— (d, +d, ++ di) 
BORE S; 就 获得 了 14. 4. 2 小 节 中 说 明 的 部 分 私 钥 分 配 结果 。 

AD 反复 执行 第 (2) ~ (10) 步 ,每 次 都 选取 不 同 的 t 个 Share Server 组 合 和 对 应 的 
Combiner, 生 成 不 同 的 随机 数 六。 组 合 方案 仍然 使 用 Jing-Feng 方案 中 说 明 的 组 合 方法 , 共 
需 反复 执行 Ci 次 。 

至 此 ,就 完成 了 CA 私 钥 的 产生 和 分 割 过 程 , 所 有 部 分 私 钥 的 分 配 结果 仍然 保持 了 
Jing-Feng 方案 的 结构 ,因此 ,也 保持 了 其 人 侵 容 忍 方 案 的 安全 性 和 可 靠 性 。 

2. JRI 

在 方案 工 中 ,每 选取 一 个 组 合 , 都 必须 循环 (2) 一 (10) 步 一 次 ,为 了 提高 效率 ,提出 了 新 
的 方案 工 ,以 减少 循环 中 的 计算 量 。 具 体 的 分 布 式 产生 协议 如 下 。 

COD 服务 器 S 计算 wm 一 N 十 1 一 加 一 ,其 他 S; 计算 = — pi — gs Ain), BRA 
ypCN) 王 mi 十 和 十 … 十 pr。 

(2) 每 台 S; 随机 产生 个 ys(j 二 1,2,…,n), 并且 满 足 g; = >) y mod e。 然 后 将 yi 发 
送 给 S; ,这 样 每 台 S; LRAT n PE Va ya Yu 

(3) 每 台 S, 都 可 以 计算 

a; = 3 y; mod e 
然后 广播 得 到 的 ci 。 

(4) 根据 (1)~~(3) 的 结果 ,因为 pC(N) 二 pr 十 gz 十 … 十 ps g = Dr mod e, Ha; = 
Dimod e, 显然 有 

g(N) = >),aimode 
从 而 所 有 人 在 得 到 所 有 a 后 都 可 以 计算 一 个 B, 满 足 
BÈ a: = Bp(N) —— 1mod e 

因为 RSA 算法 要 求 e 必须 与 pCN) 互 素 , 所 以 这 个 有 8 必然 存在 。 而 且 由 于 这 是 在 模 e 
下 的 计算 ,PCN) 的 值 仍 然 是 无 人 知晓 。 根 据 这 个 结果 ,必然 存在 一 个 整数 d ,满足 pp CN) = 
ed 一 1, 即 有 ed 一 1 十 Bp(N) 一 Ilmod pCN) ,这 正好 满足 RSA 算法 要 求 , 正 是 所 要 寻找 的 CA 
私 钥 d4。 然 而 由 于 gp(CN) 的 值 无 人 知晓 ,也 就 无 人 可 以 根据 此 式 获知 d 的 值 , 即 

d = (1 十 ppCN))/e 
(5) 现在 ,每 台 S, 都 可 以 计算 一 个 di, 即 
d; =|Bg;/e | 
显然 有 
d=r+ Jd; 
其 中 7 是 由 于 取 整 引起 的 偏差 ,并 显然 满足 0<r<n。 
(6) 为 了 找 出 这 个 偏差 ~, 任 取 一 个 消息 M, 所 有 服务 器 都 用 自己 的 d; TET M^ mod N 
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并 广播 ,从 而 大 家 都 可 以 计算 
R' = [[M* = ME: mod N 


然后 针对 0~n 之 间 的 任意 r 的 可 能 值 , 逐 个 计算 R=R'M'mod N, 根 据 第 (5) 步 的 结果 , 必 
然 存 在 一 个 +, 满足 d = rt di. 所 以 这 个 也 将 使 得 下 式 成 立 , 即 
R = R'M' = MZ) = Mimod N 

所 以 ,只 需要 尝试 尺 是 否 能 被 公 钥 e 正确 解密 ,就 可 以 判断 这 个 是否 正确 。 至 多 尝试 n 十 1 
次 后 ,就 可 以 找 出 的 正确 值 。 

(7) 对 于 Share Server MA «d; 就 是 其 拥有 的 部 分 私 钥 。 对 于 Combiner 而 言 ,需要 针 
对 不 同 的 上 个 Share Server 组 合 , 根 据 14. 4. 2 小 节 的 要 求 计算 出 对 应 的 cjo BE tA Share 
Server 为 Si ,Ss,…,S,,Combiner 为 S. ,下 面 以 这 个 组 合 为 例 说 明 如 何 计 算出 对 应 的 cj 。 

(8) S, 随机 产生 一 个 大 整数 EE, ,然后 将 Es 发 送 给 Sosa Sia th E — BÉ LACE 
Fi ,并 计算 E, SE, c Fi doa SR Si+1 再 把 E, 发 送 给 Si+; ,把 Fi 发 送 给 Sa ;Si+: 同 样 计 
f EE 二 Ei 十 Fi 十 di+s，…, 以 此 类 推 ,S, 最 后 将 得 到 

E- E Sat SF, 


(9) S, 把 得 到 的 已 , 再 发 送 给 S。, RO d — r 十 9) dis 所 以 S. 就 可 以 自行 计算 c; 的 值 
cj =r+E-E,— >) Fi=rt+ ) d =d- Md 

这 样 就 得 到 了 14. 4. 2 小 节 中 说 明 的 部 分 私 钥 分 配 结果 o 

(10) 反复 执行 第 (8)、(9) 步 ,每 次 都 选取 不 同 的 t 个 Share Server 组 合 和 对 应 的 
Combiner, 并 产生 不 同 的 随机 大 整数 E,。 组 合 方案 仍然 使 用 Jing-Feng 方案 中 说 明 的 组 合 
方法 , 共 需 反复 执行 C 次 。 

至 此 就 完成 了 CA 私 钥 的 产生 和 分 割 过 程 。 

从 这 个 方案 可 以 看 出 ,虽然 其 (8)、(9) 步 也 要 循环 C 次 ,循环 次 数 和 方案 工 相同 ,但 大 
大 减少 了 一 次 循环 的 计算 量 。 尽 管 方 案 工 在 第 (6) 步 中 需要 反复 重 试 以 寻找 + 的 确切 值 ,但 
整体 效率 比方 案 I 还 是 有 了 很 大 的 提高 。 


14.4.6 签名 测试 


在 CA 的 密 钥 产生 完毕 后 ,整个 CA 系统 都 进行 一 次 签名 测试 ,签名 测试 的 目的 有 二 : 
其 一 是 检验 产生 的 CA 密 钥 的 正确 性 ,这 主要 是 针对 N 的 产生 过 程 中 1/107 的 失败 概率 ; 
其 二 是 使 用 此 次 签名 结果 为 以 后 的 部 分 签名 验证 做 准备 。 

签名 测试 的 步骤 如 下 。 

(D RA Agent 产生 一 个 随机 大 整数 w. 

(2) RA Agent 在 广播 信道 B1 上 广播 ww, 这 样 所 有 的 Share Sever 都 将 接收 到 。 

(3) 每 台 Share Server 都 使 用 它们 的 部 分 私 钥 计 算 部 分 签名 w,—w% mod N。 

(4) 所 有 的 Share Server 在 广播 信道 B2 上 广播 部 分 签名 结果 rw 。 

(5) Combiner 接收 到 所 有 的 Share Server 部 分 签名 后 ,针对 它 所 保存 的 每 一 个 c; ,都 计 
算 一 次 最 终 签 名 w 。 所 有 的 Combiner 总 共 会 得 到 C, FAR. 


0 
k LLLI C LLL 


(6) 如 果 CA 密 钥 的 产生 和 分 割 过 程 是 正确 的 , 则 上 面 的 Ci 个 结果 显然 都 必须 相等 ， 
并 且 可 以 用 公 钥 验证。 因此 ,此 时 每 台 Combiner 都 使 用 公 钥 e 验 证 它们 所 得 到 的 计算 结 
果 。 如 果 所 有 的 C 个 结果 都 验证 通过 , 则 此 次 签名 测试 通过 ;否则 只 要 有 一 个 验证 不 通 
过 , 则 签名 测试 失败 。 

签名 测试 是 CA 密 钥 产生 和 分 割 的 最 终 决 定 步骤 。 若 测试 通过 , 则 说 明 CA 密 钥 产生 
和 分 割 过 程 是 正确 的 ,整个 过 程 至 此 结束 ;如 果 测 试 失 败 , 则 整个 系统 必须 恢复 到 初始 状态 ， 
重新 开始 CA 密 钥 的 产生 过 程 。 


14.4.7. 密 钥 产生 结果 


该 方案 中 ,CA 密 钥 的 产生 与 分 割 结束 后 ,服务 器 将 获得 和 保存 以 下 数据 。 

CD 每 台 服务 器 都 要 保存 其 在 产生 N 时 生成 的 p; 和 qi。 

(2) 每 台 Share Server 都 保存 其 部 分 私 钥 d; 。 

(3) 对 于 任意 上 个 Share Server, 其 对 应 的 c; 都 由 一 个 Combiner 保存 。 

(4) 每 个 Combiner 都 保存 签名 测试 过 程 中 产生 的 所 有 个 wis 

(5) 所 有 公开 信息 ,包括 RSA 公 钥 N 和 e、 签 名 测试 中 使 用 的 w 等 。 

在 以 上 这 些 结果 中 ,(1) 一 (3) 步 的 信息 是 机 密 性 的 ,只 有 保存 它们 的 服务 器 知道 , 绝 不 
能 向 其 他 服务 器 或 者 外 界 泄露 。 


14.4.8 部 分 签名 的 验证 


由 于 受到 攻击 部 分 私 钥 被 算 改 ,或 者 由 于 其 他 原因 某 些 服务 器 的 部 分 签名 可 能 会 发 生 
错误 ,CA 系统 的 人 侵 容 忍 性 可 以 保证 只 要 有 一 定数 量 的 服务 器 正常 工作 ,整个 CA 系统 的 
运作 就 仍然 可 以 保持 正常 。 但 是 查找 出 发 生 错 误 的 服务 器 也 是 必需 的 ,这 有 助 于 系统 的 排 
错 纠 错 ,及 时 制止 正在 发 生 的 人 侵 事件 ,提高 系统 长 期 运行 的 安全 性 和 稳定 性 。 

因此 还 将 提供 一 个 方案 ,使 CA 系统 还 可 以 验证 服务 器 的 部 分 签名 ,以 便 查找 出 究竟 是 
哪些 服务 器 发 生 了 错误 。 文献 [12] 针 对 这 种 情况 提出 了 两 种 验证 协议 ,将 改进 其 中 的 一 种 
协议 ,使 其 适用 于 我 们 提出 的 和 人 侵 容忍 CA 系统 。 具 体 协议 如 下 。 

执行 条 件 : 每 个 Combiner 都 保存 着 14. 4. 6 小 节 中 产生 的 w A w, Bit CA 系统 在 
计算 消息 M 的 最 终 签名 时 发 现 错误 ,R; H Share Server S; 对 M 的 部 分 签名 。 

(1) 当 一 个 Combiner 用 公 钥 验证 ,发 现 最 终 签名 有 错时 , 它 随机 产生 两 个 大 整数 和 
v, 并 计算 

M, = M*w'*mod N, B, = Riw?mod N 

(2) Combiner 广播 M, ,要 求 所 有 的 Share Server 对 其 进行 部 分 签名 。 

(3) 每 个 Share Server 都 对 M, 进行 部 分 签名 ,得 到 结果 Bi, 并 将 结果 返回 给 
Combiner。 

(4) Combiner 收集 到 Share Server 对 M, 的 部 分 签名 Bi 后 ,比较 B, 和 Bi 的 值 。 如 果 
Share Server 的 部 分 签名 是 正确 的 , 则 显然 有 

B= Mt “wi? 一 R*w? 一 B;(mod N) 
所 以 如 果 B, B; WX WAY Share Server 必然 发 生 了 错误 。 
(5) 如 果 Combiner 没有 发 现 某 些 Share Server 的 部 分 签名 是 错误 的 ,而 RA Agent 又 
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BR CA 签名 错误 , 则 RA Agent 可 以 认为 Combiner 自身 发 生 了 错误 。 

该 协议 的 基本 思想 借鉴 了 文献 [12] 中 的 一 个 协议 ,文献 [12] 对 其 协议 的 可 靠 性 进行 了 
分 析 , 其 分 析 也 可 用 于 该 协议 ,总结 如 下 。 

(1) 完备 性 (Completeness) 。 当 Share Server 并 未 发 生 错误 ,并 正确 履行 该 协议 时 , 它 
也 就 能 通过 该 协议 的 检查 测试 。 

(2) 合理 性 (Soundness) 。 当 一 个 Share Server 发 生 错误 时 , 它 没有 通过 该 协议 检查 的 
现实 可 能 。 实 际 上 ,只 有 一 个 极其 微小 的 概率 使 得 Share Server 可 以 欺骗 该 协议 。 

(3) 零 知识 性 (Zeroknoledge)。 在 协议 的 整个 交互 过 程 中 ,Share Server 不 会 泄露 其 掌 
握 的 部 分 私 钥 信 息 。 

从 以 上 3 点 分 析 可 以 看 出 ,这 个 部 分 签名 验证 协议 是 足够 可 靠 的 ,并 且 不 泄露 部 分 私 钥 
信息 ,仍然 满足 人 侵 容忍 系统 的 要 求 。 


14.4.9 部 分 私 钥 的 更 新 


当 CA 运行 一 段 时 间 后 ,部 分 私 钥 泄露 的 可 能 性 也 会 自然 增加 ,因此 ,每 隔 一 段 时 间 全 
面 更 新 一 次 所 有 服务 器 的 部 分 私 钥 ,可 以 加 强 CA 系统 的 安全 性 。 这 种 更 新 并 不 改变 CA 
的 RSA 密 钥 对 ,而 只 是 改变 每 个 服务 器 所 保存 的 部 分 私 钥 值 , 因 此 不 对 CA 的 证 书 和 签名 
产生 任何 影响 。 更 新 的 具体 间隔 时 间 取决 于 具体 CA 的 运行 策略 。 

更 新 过 程 十 分 简单 ,首先 为 了 保证 安全 性 ,CA 应 停止 服务 并 暂时 离线 ,然后 重新 运行 
一 遍 14.4.5 小 节 所 描述 的 CA 私 钥 的 分 割 过 程 ,从 而 获得 新 的 部 分 私 钥 分 割 方案 。 由 于 该 
过 程 中 部 分 私 钥 都 是 随机 产生 的 大 整数 , 跟 原 有 的 部 分 私 钥 毫 无 联系 ,所 以 这 一 过 程 仍然 不 
会 泄露 CA 私 钥 的 具体 信息 。 


14.4.10 安全 性 和 性 能 分 析 


l. 公 钥 生成 的 安全 性 分 析 
方案 工 基 于 简化 了 的 BGW 多 方 计算 协议 ,从 文献 [10] 和 [11] 对 BGW 协议 的 分 析 中 


可 以 得 到 ,该 协议 的 门限 值 为 六 一 | “ 忆 


g |p 这 意味 着 在 方案 I 的 生成 协议 中 ,即使 及 个 服 


务 器 串通 共 谋 ,它们 也 无 法 获得 关于 N 的 分 解 的 任何 信息 ,也 就 无 法 获得 CA 的 根 秘密 。 
但 是 ,这 样 也 对 整个 系统 方案 的 门限 值 提出 了 要 求 , 即 门限 上 必须 满足 :二 m, 在 这 个 条 件 
下 ,方案 工 是 安全 的 。 

关于 N 的 合法 性 检测 的 安全 性 前 面 已 经 分 析 过 ,这 里 不 再 歼 述 。 

方案 I 借鉴 了 文献 [13] 中 的 多 方 计算 协议 , 现 有 的 攻击 方法 都 是 针对 两 方 协议 
BIT ,对 多 方 协议 (xz 之 2) 还 没有 造成 威胁 。 


2. 私 钥 生成 的 安全 性 分 析 

先 对 方案 工 进行 安全 性 分 析 。 

首先 ,在 协议 的 前 7 步 中 ,每 个 服务 器 向 外 界 透露 的 唯一 数据 是 7; 一 9; 十 rie ,其 中 p: 在 
每 次 计算 都 是 固定 的 ,而 n 则 是 每 次 随机 生成 的 大 整数 ,所 以 无 论 透露 了 多 少 个 不 同 的 y;， 
其 方程 组 的 变量 个 数 始终 比方 程 数量 大 1。 即 假设 有 zz 个 y; 二 gi 十 rie 方程 , 则 方程 系数 和 矩 
阵 的 秩 至 多 为 zx, 而 变量 个 数 为 z 十 1, 无 法 求解 。 所 以 外 界 无 法 从 透露 的 7; 破解 协议 。 
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其 次 ,即使 攻击 者 使 用 了 某 种 手段 ,窃取 了 某 个 六 的 值 , 也 仅仅 能 从 方程 y; gu re 中 
获得 mw。 然而 ,从 o; 也 仅仅 只 能 求解 出 p; 十 q;, 面 对 两 个 大 整数 p; 和 qi; 的 和 ,不 可 能 判断 
出 p; Ma: 的 具体 值 。 

最 后 ,分 析 协 议 的 (8) 一 (11) 步 ,在 这 个 过 程 中 ,即使 在 最 坏 的 情况 下 ,攻击 者 最 多 可 以 
获得 K; 的 值 ,而 为 了 获得 K; ,显然 需要 先 获得 E, 的 值 , 所 以 在 最 坏 的 情况 下 ,可 以 认为 S; 
参与 了 攻击 。 然 而 ,即使 如 此 ,考虑 第 (8) 步 中 K; 的 计算 公式 : 

情况 四 : K;—ar;—d; 

由 于 xi 每 次 随机 生成 ,类 似 于 六 ,方程 系数 矩阵 的 秩 总 是 比 变量 数量 少 , 无 法 求解 。 

WRO: K:=2r;+y 

情况 @: K,—ar, 

以 上 两 种 情况 下 ,攻击 者 可 以 从 K; 获得 六 的 值 ,由 此 可 知 ,ri; 的 泄露 不 影响 安全 性 。 

此 外 ,K; 的 泄露 还 能 使 攻击 者 获得 cj 的 值 , 但 是 由 于 S; 参与 了 攻击 ,c; 的 泄露 是 很 自 
然 的 事 。 而 且 门 限 系 统 保 证 了 一 个 Combiner 的 失控 ,不 会 影响 整体 安全 性 。 

接 下 来 分 析 方 案 开 的 安全 性 。 

首先 ,方案 [的 前 6 步 中 ,对 外 泄露 的 主要 信息 是 p(N)mod e fil M^ mod N。 后 者 就 是 一 
个 正常 的 部 分 签名 ,RSA 算法 保证 了 其 安全 性 。 而 前 者 的 计算 是 在 模 e 下 进行 的 ,考虑 到 实际 
使 用 中 e 的 值 通常 是 一 个 很 小 的 定 值 ,如 65537。 在 这 样 小 的 模 数 下 ,要 从 wp(N)mod e 获得 确 
切 的 CN) 是 不 可 能 的 。 当 然 , 这 一 点 也 可 以 视 作 对 公 钥 e 的 取 值 要 求 。 

其 次 ,在 方案 的 (7) 一 (10) 步 中 , 挨 杂 的 随机 数 E, IF, , 使 得 想 要 从 E, 获得 4 ,显然 也 
是 一 件 不 可 能 的 事情 。 唯 一 的 可 能 性 需要 系统 中 多 个 服务 器 ,包括 Combiner 的 联合 攻击 ， 
这 一 点 对 系统 的 门限 值 有 影响 。 


3. 部 分 签名 验证 的 安全 性 分 析 

对 于 部 分 签名 验证 ,只 使 用 了 一 个 额外 的 数据 w — w^ mod N。 如 果 攻 击 者 要 通过 w 
获得 部 分 私 钥 d;, 实 际 上 就 等 同 于 攻击 RSA 算法 ,因此 只 要 保证 随机 产生 的 部 分 私 钥 d; E 
够 大 ,部 分 签名 验证 的 安全 性 是 可 以 得 到 保障 的 。 


4. 部 分 私 钥 更 新 的 安全 性 分 析 

部 分 私 钥 的 更 新 协议 ,其 本 质 是 对 私 钥 产 生 协 议 的 再 运行 ,从 私 钥 产 生 协 议 可 以 看 出 ， 
每 个 服务 器 的 部 分 私 钥 是 一 个 随机 大 整数 。 因 此 ,在 部 分 私 钥 更 新 协议 执行 前 与 执行 后 , 服 
务 器 所 拥有 的 部 分 私 钥 是 毫 无 联系 的 ,被 泄露 的 部 分 私 钥 无 法 对 更 新 后 的 部 分 私 钥 的 安全 
性 产生 威胁 。 


5. 效率 分 析 

上 毫 无 疑问 ,相对 于 原来 Jing-Feng 方案 中 单独 的 密 钥 产生 和 分 发 中 心 , 该 方案 使 用 的 
CA 密 钥 产生 方案 的 性 能 会 有 较 大 程度 的 降低 。 然 而 ,对 于 一 个 需要 提供 稳定 服务 的 CA 
中 心 来 说 ,其 密 钥 改变 的 周期 是 非常 长 的 ,除非 中 途 CA 密 钥 被 泄露 出 去 。 因 此 ,CA 密 钥 
的 产生 协议 在 很 长 时 间 内 才 会 被 运行 一 次 ,其 性 能 上 的 降低 所 带 来 的 影响 可 以 忽略 不 计 。 
另外 ,这 点 影响 还 换 来 了 CA 系统 更 高 的 安全 性 ,而 安全 性 永远 是 CA 系统 考虑 的 第 一 
要 素 。 

在 整个 方案 中 ,最 耗 时 的 无 疑 是 N 的 分 布 式 计算 产生 。 产 生 的 N 合法 性 的 概率 实际 
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上 等 于 两 个 随机 数 P 和 Q 同时 是 素数 的 概率 ,假设 一 个 随机 数 是 素数 的 概率 为 zx, 则 显然 
NN 合法 的 概率 只 有 zx?*。 而 传统 的 产生 方式 都 是 随机 产生 P 和 Q 并 检查 是 否 是 素数 ,其 随 
机 产生 了 或 Q 是 素数 的 概率 都 是 zx。 从 这 也 可 以 看 出 ,该 方案 在 这 一 点 上 效率 最 低 。 也 就 
是 说 ,该 方案 产生 N 所 需 的 循环 次 数 的 期 望 是 传统 产生 方式 的 平方 ,而 在 现 有 的 普通 PC 
上 ,传统 RSA 参数 的 产生 时 间 一 般 也 不 超过 lmin, 所 以 该 方案 的 计算 时 间 是 可 接受 的 。 

另外 ,对 于 CA 运行 中 的 部 分 私 钥 更 新 和 部 分 签名 验证 ,前 者 也 是 在 较 长 时 间 内 才 运 行 
更 新 ,而 后 者 是 要 在 服务 器 发 生 错 误 时 才 会 运行 。 因 此 ,对 于 一 个 稳定 的 CA 来 说 ,这 两 者 
都 不 会 影响 其 正常 运行 时 的 性 能 。 可 以 说 ,拥有 与 Jing-Feng 方案 相同 的 运行 性 能 。 


6. 性 能 的 改进 考虑 

如 前 所 述 ,在 该 方案 所 述 的 算法 和 协议 中 , 耗 时 最 多 的 主要 是 CA 密 钥 N 的 分 布 式 产 
生 。 为 了 尽 可 能 避免 无 谓 的 计算 ,可 以 在 计算 N 之 前 , 先 对 两 个 随机 数 进行 筛选 , 筛 除 明显 
非 素数 的 情况 ,从 而 加 大 通过 测试 协议 的 概率 。 考 虑 到 安全 性 ,这样 一 种 筛选 也 必须 分 布 式 
进行 , 且 不 能 泄露 N 的 分 解 信息 。 


14.5 小 结 


ARREZ CA 协议 是 构建 高 安全 级 别 PKT 系统 的 核心 组 件 ,本 章 重点 介绍 了 几 个 典型 
的 入 侵 容忍 CA 协议 。 信 息 安全 国家 重点 实验 室 PKT 项目 组 在 这 一 领域 取得 了 一 批 创新 
性 工作 ,包括 Jing-Feng ARAZ CA 协议 和 自治 协同 的 入 侵 容忍 CA 协议 "9 ,自主 研制 了 
一 套 先进 的 PKI 系统 并 得 到 实际 应 用 ,形成 了 系列 国家 标准 ,部 分 工作 已 在 文献 [18] ~ 
[20J] 中 做 了 较为 详细 的 总 结 。 本 章 主要 介绍 了 我 们 自己 的 一 些 工作 ,对 其 他 一 些 有 代表 性 
的 工作 也 做 了 一 些 综述 和 对 比 介 绍 , 感 兴趣 的 读者 可 从 文中 介绍 的 线索 参阅 相关 文献 。 关 
于 传统 PKI 方 面 的 介绍 可 参阅 文献 [21] 和 [22]。 草 继武 教授 和 庄 清 博士 也 参加 了 本 章 的 
写作 ,作者 在 此 表示 衷心 的 感谢 。 
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基于 身份 的 公 钥 密 码 体制 (简称 ID-PKC, 又 称 基于 标识 的 公 钥 密码 体制 ) 近 年 来 得 到 
了 迅速 发 展 ,并 成 为 一 个 研究 热点 ,其 基本 思想 是 以 任意 字符 串 如 姓名 、E-mail 地 址 等 作为 
用 户 的 公 钥 ,由 一 个 可 信 的 私 钥 生成 中 心 (Public Key Generator,PKG ) 为 其 生成 私 钥 。 与 
传统 的 公 钥 密码 体制 相 比 ,ID-PKC 最 突出 的 特点 在 于 公 钥 具有 语义 性 。 传 统 公 钥 密 码 体 
制 中 的 公 钥 通常 是 随机 产生 的 二 进 制 串 ,其 本 身 不 具有 任何 语义 ;而 在 ID-PKC 中 , 公 钥 可 
以 是 事先 选 定 的 任何 有 意义 的 字符 串 , 如 身份 信息 。 由 于 可 以 使 用 公 钥 直接 表达 身份 信息 ， 
ID-PKC 不 再 需要 用 证 书 绑 定 用 户 身份 和 公 钥 。 

ID-PKC 的 思想 最 早 是 由 Shamir 提出 的 ,其 目的 是 避免 传统 公 钥 密码 体制 中 由 证 书 
引起 的 存储 查询 等 问题 。Shamir 给 出 了 第 一 个 基于 身份 的 签名 方案 (Identity-Based 
Signature, IBS)™ 。 此 后 出 现 了 多 种 基于 身份 的 签名 方案 和 身份 识别 方案 (Identity-Based 
Identification, IBD®", 48m, Shamir 提出 ID-PKC 思想 后 的 很 长 一 段 时 间 内 ,一 直 没 有 
一 个 有 效 且 安全 的 基于 身份 的 加 密 方案 (Identity-Based Encryption, IBE) H W, X ERKE 
度 上 影响 了 ID-PKC 的 研究 和 应 用 。1998 年 Cocks 提 出 了 一 个 基于 二 次 剩余 的 IBE 方 
案外 ,但 该 方案 逐 比 特 加 、 解 密 ,效率 太 低 ,不 能 满足 实际 需要 。 直 到 2001 年 , 才 由 Boneh 
和 Franklin 提出 了 第 一 个 能 够 满足 实际 应 用 的 IBE FR, Boneh-Franklin IBE 方案 的 出 
现 极 大 地 推动 了 ID-PKC 的 研究 和 发 展 ,涌现 出 一 大 批 ID-PKC 7; 

ID-PKC 的 发 展 使 得 在 此 基础 上 构建 基于 身份 的 PKI 系统 (简称 ID-PKI) 成 为 可 能 。 
得 益 于 ID-PKC 的 特性 ,ID-PKI 在 许多 方面 比 传统 PKI 更 具有 优势 。 首 先 , 由 于 不 必 再 为 
用 户 颁 发 证 书 ,ID-PKI 系统 可 以 省 去 证 书库 .LDAP 等 系统 部 件 的 建设 和 维护 成 本 ,因而 更 
加 轻 量 、 灵 活 。 其 次 ,由 于 公 钥 可 从 身份 信息 直接 计算 得 出 ,通信 各 方 在 相互 认证 时 不 必 再 
事先 传递 .查询 证 书 , 因 而 可 以 较 大 地 降低 通信 量 并 减少 交互 次 数 。 再 其 次 ,由 于 用 户 的 公 
钥 即 身份 是 天 然 存在 的 ,即使 用 户 还 没有 向 密 钥 中 心 申 请 私 钥 ,依赖 方 (Relying Party) 也 可 
以 先 用 其 公 钥 加 密 消息 ,接收 方 可 以 在 收 到 加 密 消 息 后 再 去 申请 私 钥 。 而 在 传统 PKI 中 ， 
依赖 方 必须 等 接收 方 申请 证 书后 ,才能 使 用 其 证 书 中 的 公 钥 加 密 消息 。 

ID-PKI 的 上 述 优势 使 其 具有 良好 的 应 用 前 景 ,被 视 为 未 来 PKI 的 一 个 发 展 方向 中 。 
然而 应 该 注意 到 ,ID-PKI 在 具有 显著 优势 的 同时 ,也 还 存在 若干 问题 ,这 些 问 题 直接 影响 了 
ID-PKI 的 推广 和 应 用 。 其 中 最 主要 的 是 ID-PKI 中 的 密 钥 管理 问题 ,包括 私 钥 的 安全 分 
发 、 密 钥 撤 销 及 密 钥 托管 等 。 首 先 ,由 于 ID-PKI 中 所 有 用 户 的 私 钥 只 能 由 密 钥 中 心 产生 ， 
因此 必须 以 一 种 安全 的 方式 把 私 钥 从 密 钥 中 心 分 发 到 用 户 手中 ,保证 途中 用 户 私 钥 的 机 密 
性 和 完整 性 。 其 次 , 同 传统 PKI 类似,ID-PKI 中 同样 需要 密 钥 撤销 。 但 由 于 ID-PKI 独特 
的 性 质 ,传统 PKI 中 的 证 书 撤销 方法 如 CRL .OCSPI 等 在 ID-PKI 中 并 不 适用 。 再 其 次 ， 
由 于 密 钥 中 心 掌握 所 有 用 户 的 完整 私 钥 , 密 钥 托管 成 为 ID-PKI 与 生 俱 来 的 问题 。 虽 然 在 
某 些 情形 下 , 密 钥 托管 是 有 益 的 ,但 在 多 数 应 用 中 , 密 钥 托管 是 需要 避免 的 。 如 何 避 免 
ID-PKI 中 的 密 钥 托管 也 成 为 需要 解决 的 一 个 问题 。 虽 然 针 对 ID-PKI 密 钥 管理 问题 目前 
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已 经 有 一 些 研究 成 果 ,但 还 没有 能 够 同时 解决 上 述 3 个 问题 的 解决 方案 ,而 且 不 同方 案 也 很 
难 一 起 使 用 ,因此 在 ID-PKI 密 钥 管理 问题 上 值得 进一步 研究 。 除 了 上 述 密 钥 管理 问题 外 ， 
ID-PKI 的 另 一 个 重要 问题 是 如 何在 具体 环境 中 应 用 ID-PKI, 充 分 发 挥 ID-PKI 的 优势 。 然 
而 ,目前 的 研究 大 多 集中 在 基础 ID-PKC 方案 上 ,对 这 类 问题 的 研究 仍 比 较 少 。 我 们 针对 这 
些 问 题 进行 了 系统 深入 研究 ,并 取得 一 批 新 成 果 , 本 章 主要 介绍 了 我 们 在 这 一 领域 的 一 些 研 
究 工作 。 


15.1 ID-PKC 方案 简介 


ID-PKC 起 源 于 Shamir 在 文献 [1] 中 提出 的 第 一 个 基于 身份 的 签名 方案 。 之 后 
ID-PKC 经 历 了 较 长 时 间 的 缓慢 发 展 。2000 年 Sakai、Ohgishi 和 Kasahara 提出 了 基于 双 线 
性 映射 的 IBS 方 案 (简称 为 SOK-IBS FR), 2001 年 Boneh 和 Franklin 提出 了 基于 双 线 
性 映射 的 IBE 方案 中 ,该 方案 的 提出 是 ID-PKC 发 展 过 程 中 的 一 个 重要 里 程 碑 。 此 后 ， 
ID-PKC 得 到 了 迅速 发 展 ,出 现 了 大 量 的 相关 研究 成 果 , 包 括 两 个 SOK-IBS 改进 方案 "" 、 
3t-T 5r 08970 8:7; 467 9 基于 身份 的 签名 方案 .基于 身份 的 层次 加 密 方案 "7 、 基 于 
身份 的 签 密 方案 "1 及 基于 身份 的 密 钥 协 商 协议 ”~ 等 。 相 关 方 案 可 以 参见 综述 文献 
[26],[27]. 

最 典型 的 ID-PKC 方案 有 Shamir 提出 的 IBS 7j 3€ , Boneh 和 Franklin 提出 的 IBE 77 
案 , 以 及 Sakai, Ohgishi 和 Kasahara 提出 的 IBS 方案 。Shamir IBS 方案 在 9. 8 节 已 做 了 详 
细 介 绍 ,Shamir 在 其 论文 中 没有 给 出 该 方案 的 安全 性 证 明 ,Libert 等 人 在 文献 [11] 中 证 明 
了 该 方案 在 选择 消息 攻击 下 是 存在 性 非 伪造 的 。 本 节 重 点 介绍 后 两 个 方案 。 


15.1.1 几 个 重要 概念 


定义 15. 1( 双 线性 映射 , Bilinear map) 设 G 为 阶 为 g 的 加 法 循环 群 ,G; 为 阶 为 gq 的 
乘法 循环 群 ,g 是 一 个 大 素数 。 定 义 映射 6:G1 XG, >G: ,如 果 e 满足 以 下 性 质 , 则 称 e 为 一 
个 可 接受 的 双 线 性 映射 。 

(1) 双 线性 性 (Bilinear) 。 对 所 有 的 P,QEG sa bE Z MA 2(aP.bQ) —e CP. Q^, 

(2) 非 退 化 性 (Non-degenerate) 。 存 在 P.QEG, ,使 得 eCP. Qo lo, ,其 中 le, 为 群 G: 
的 单位 元 。 

(3) 可 计算 性 (Computable) 。 存 在 一 个 算法 ,对 任何 P,QEG 都 可 以 有 效 地 计算 出 
ceCP,Q) 。 

双 线 性 映射 可 以 从 椭圆 曲线 上 的 Weil 对 (Weil Pairing) 和 Tate 对 (Tate Pairing) 中 得 
到 。 更 多 内 容 可 参阅 文献 [5] 和 [28]。 

CDH 问题 和 CDH 假设 虽然 已 在 前 面 作 过 介绍 ,但 这 里 再 回顾 一 下 椭圆 曲线 群 上 的 相 
关 定 义 。 

定义 15.2(CDH 问题 ) 令 G 为 g 阶 的 循环 群 ,9 是 一 个 大 素数 。P HG 的 任 一 生成 
元 。CDH 问题 是 : 对 于 任意 未 知 正 整数 a,5E€ Z, AE aP MSP ,计算 abP。 

定义 15.3(CDH 假设 ) 令 PGen 为 CDH 参数 生成 器 , 即 输入 安全 参数 1* ,在 多 项 式 
时 间 内 输出 一 个 素数 g 阶 的 循环 群 G, 以 及 G 上 的 一 个 生成 元 PEG" 。 定 义 算法 A 在 解决 
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PGen 生成 的 CDH 问题 上 的 优势 为 
Adv? (1*) =Pr[ A(G,P,aP ,bP) 
—abP | (G, P) < PGen(1*),a,5 = Z; | 
若 对 任意 概率 多 项 式 时 间 算法 A( 以 为 参数 ),Adv885.a(k) 都 是 可 忽略 的 , 则 称 PGen 满 
足 CDH 假设 。 
定义 15.4(BDH 问题 ) 邻 g 为 一 个 大 素数 ,Gi H a 阶 的 加 法 循环 群 ,G; 为 gq 阶 的 乘法 
循环 群 ,P 为 G1 的 生成 元 ,映射 :G1 XG >G, 为 可 接受 的 双 线 性 映射 ,定义 在 (G ,Ga e? 
上 的 BDH 问题 为 : 给 定 (P,aP,pP,cP) ,其 中 4a,b,cE Z; ,计算 W=2(P,P)*E€G,。 
定义 15.5(BDH 假设 ) 令 PGen 为 BDH 问题 参数 生成 器 , 即 输 入 安全 参数 1 ,在 多 
项 式 时 间 内 输出 阶 均 为 素数 g 的 加 法 循环 群 G, 和 乘法 循环 群 G , 双 线 性 映射 8:G1 XG 一 
Gs WRG, 的 生成 元 P。 对 任意 的 多 项 式 时 间 算 法 A, 定 义 其 在 解决 PGen 生成 的 BDH [n] 
题 上 的 优势 为 
Advt A(1*) =PrlA(q,G, ,Gs +ê, P,aP ,bP ,cP) = 2(P,P) 
| (Gi ,G1,2,P) <—PGen(1"),a,b,c RZ; ] 
若 对 于 任意 概率 多 项 式 时 间 算 法 A( 以 为 参数 ),Adv 妇 5.a(k) 都 是 可 忽略 的 , 则 称 PGen 
满足 BDH 假设 。 
定义 15. 6(q-SDH 假设 ) (Gi GORENAK É q 的 循环 群 ,对 所 有 的 概率 多 项 式 
时 间 算 法 A, 概 率 Pr[A((g om Tog em ECG, X (GDH = (gl ,x) Az € Z1] 
是 可 忽略 的 。 其 中 z,yEZ; ,yy 是 从 群 Gs 到 G 的 同 构 , 且 %(8z) 一 8i 。 


15.1.2  Boneh-Franklin IBE 方案 


文献 [5] 中 给 出 了 两 个 IBE 方案 , 即 基本 方案 (BasicIdent) 和 完整 方案 (FullIdent) 。 其 
中 BasicIdent 方 案 在 RO 模型 中 被 证 明 是 选择 明文 攻击 语义 安全 的 (IND-ID-CPA)， 
Fullldent 方案 是 在 Basicldent 基础 上 使 用 了 Fujisaki-Okamoto 的 变换 方法 ‘得 到 的 选择 
密 文 攻击 语义 安全 (IND-ID-CCA) 的 改进 方案 。 下 面 分 别 介绍 这 两 个 方案 。 


1. Basicldent 方案 

Basicldent 方案 包含 4 个 过 程 : 初始 化 、 生 成 密 钥 加密 和 解密 ,具体 过 程 如 下 。 

CD 初始 化 。 根 据 输入 的 安全 参数 ,生成 一 个 素数 aq 阶 的 加 法 群 G, 和 4 阶 的 乘法 群 
Gs, 双 线性 映射 6:G XG, >G, 以 及 G 的 生成 元 P。 选 择 两 个 Hash 函数 : Hi:{0,1}* Gr 
和 Hz :G3 一 {0,1)"。 选 择 一 个 随机 数 s€ r2Zi ,计算 Prw 一 sP。 系 统 的 公开 参数 为 {g，G' ， 
G;, P, Hi, Ha, Poo) ,系统 的 主 密 钥 为 ,由 PKG HARE. 

(2) 生成 密 钥 。 对 一 个 输入 的 字符 串 IDE (0,1) * ,其 公 钥 为 Qiw — Hi (ID € Gr ,其 对 
应 的 私 钥 为 dw 二 Qi 。 

(3) 加 密 。 使 用 字符 串 ID 加 密 消息 me (0.1)" HERA: 首先 计算 Qn =H, ID) E 
Gi ,其 次 选择 随机 数 rE Z; ,最 后 计算 U —rP.V —mO HG) ,其 中 gp—e(Qp Pru). 8 
MA c=<U, V>. 

(4) 解密 。 收 到 密 文 c— —U. V> EAE BL E BA dp 一 sQm 计 算 明 文 消息 


L3 Lid is RESTR 


m=VQH; (dp ,U). 


2. Fullldent 方案 

Boneh 和 Franklin 在 Basicldent 方案 基础 上 使 用 Fujisaki 和 Okamoto 提出 的 转换 方 
法 "9 得 到 Fullldent FR. Fujisaki-Okamoto 方法 通过 在 密 文中 增加 密 文 合法 性 检查 信 
息 ,把 具有 单 向 安全 性 的 加 密 方案 (One -way encryption) 转 换 为 具有 选择 密 文 攻击 下 语义 
安全 性 (IND-CCA) 的 加 密 方案 。FullIdnet 方案 与 BasicIdent 基本 相同 ,具体 过 程 如 下 。 

(1) 初始 化 。 与 Basicldent 基本 相同 ,但 增加 了 两 个 Hash 函数 H: :(0,1)* X (0,1) 
Zi 8I H,:(0,15—(0,1)", 

(2) 生成 密 钥 。 与 Basicldent 完全 相同 。 

(3) 加 密 。 使 用 字符 串 ID 加 密 消息 mE (0.1)" 的 步骤 为 : 首先 计算 Qo —H, ID) € 
Gi ,其 次 选择 随机 数 oE (0,1)" ,最 后 令 r— Hs (a.m), BUH 

c —— rP o Q H;Cg) m@ Hilo) >, HEP gp = eQQp s Pru) 

(4) 解密 。 收 到 密 文 c— UV W> BEA: 首先 使 用 私 钥 dw 计算 o=VO 
H: (@(dp U)) ,其 次 计算 m=WOH, Go ,最 后 令 r= Hs (a.m), IE S U 和 rP 是 否 相 等 ,如 
果 是 则 接受 明文 m, 否 则 丢弃 该 密 文 。 

Boneh 和 Franklin 在 RO 模型 中 证 明了 这 两 个 方案 的 安全 性 。 需 要 指出 的 是 ,Boneh 
和 Franklin 对 攻击 者 能 力 的 形式 化 定义 (IND-ID-CPA 和 IND-ID-CCA) 与 标准 定义 
(IND-CPA 和 IND-CCA)5' 5 是 有 区 别 的 , 即 在 标准 定义 基础 上 增强 了 攻击 者 能 力 , 使 其 
可 以 询问 用 户 私 钥 。 这 是 为 了 更 好 地 模拟 实际 环境 下 攻击 者 的 能 力 。 在 ID-PKC 中 ,同一 
个 PKG 下 所 有 用 户 的 私 钥 都 由 同一 个 主 密 钥 生成 的 ,实际 环境 中 攻击 者 有 可 能 已 经 掌握 
了 某 些 用 户 的 私 钥 ,利用 这 些 已 知 信息 再 去 攻击 同一 个 PKG 的 其 他 用 户 , 因 此 必须 防止 攻 
击 者 利用 用 户 私 钥 间 的 相关 性 构造 对 IBE 方案 的 攻击 。Boneh-Franklin IBE 方案 之 后 的 
ID-PKC 密码 方案 在 进行 安全 性 证 明 时 也 都 考虑 了 这 一 点 。 


15.1.3 SOK-IBS 原始 方案 


本 节 介 绍 SOK-IBS 的 原始 方案 "J 和 两 个 改进 方案 "" 7, SOK-IBS 原始 方案 的 具体 过 
程 如 下 。 

CD 初始 化 。 对 输入 的 安全 参数 1* ,PKG 选择 两 个 阶 为 素数 q 的 群 G 和 Gi (q>2"), 
一 个 双 线 性 映射 2:G XG, >G, ,Gi 的 生成 元 PP, 一 个 随机 选择 的 主 密 钥 s€ Z; 和 一 个 相应 
WAH Py, —5P€G,, PKG 还 选择 两 个 Hash 函数 : Hi ,HH,:{0,1}">Gr? 。 系 统 的 公开 参 
数 为 : params= {Gi ,G; ,2,P,Prw,H'i,H;}。 

(2) 生成 私 钥 。 对 用 户 身份 信息 ID. PKG 计算 Qs — Hi ID EG, 则 用 户 的 私 钥 为 
dip=sQn€Gi« 

(3) €%. AP ID 对 消息 M 的 签名 过 程 如 下 。 

QD 选择 随机 数 rE eZ) ,计算 U=rP CG, 和 H-H;(O/D€G,, 

Q it V=dpt+rHEG,. 

签名 结果 为 o=<U.V>€G, XG. 

(4) 验证 。 为 了 验证 用 户 ID 对 消息 M 的 签名 结果 o—-—U.V— €G XG ,验证 者 首先 计 
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$$ Q» —H, UD) €G, fll H— H. OM) € G,.. REAMER ECV,P) 一 2(Qn Pra) * £CH,U) FE 
否 成 立 。 如 果 成 立 , 则 接受 该 签名 结果 ;否则 ,拒绝 接受 。 

SOK-IBS 原始 方案 同 两 个 改进 方案 "的 区 别 仅 在 于 H 的 赋值 。SOK-IBS-1 Jj" 
中 互 被 设置 为 及 ,CM,U),SOK-IBS-2 方案 "中 H 被 设置 为 昌 , (ID,M,U)。 显然, 对 H 
的 修改 并 不 影响 方案 的 效率 。 

SOK-IBS 原始 方案 是 一 个 很 有 意思 的 方案 。 与 大 多 数 其 他 IBS RT RBI 
SOK-IBS git i7; 3E 不 同 的 是 ,SOK-IBS 原始 方案 不 能 看 做 是 使 用 Fiat-Shamir 转换 方 
法 中 对 某 个 识别 方案 作用 的 结果 。 正 是 由 于 这 一 点 ,文献 [10] 中 的 通用 框架 和 文献 [32] 中 
的 Forking 引 理 都 很 难 被 用 来 证 明 该 方案 的 安全 性 。 文 献 [33] 中 证 明了 该 方案 在 选择 消息 
攻击 下 是 能 够 抵抗 存在 性 伪造 的 (UF-CMA), 并 说 明了 SOK-IBS 原始 方案 不 是 选择 消息 攻 
击 下 强 存在 性 非 伪 造 安全 的 (sUF-CMA), 虽 然 两 个 改进 方案 "具有 这 样 的 安全 性 。 从 
这 一 点 上 可 以 看 出 ,文献 [10] 对 SOK-IBS 方案 的 改进 是 很 有 意义 的 ,在 不 影响 运算 效率 的 
同时 提高 了 安全 性 。 当 然 , 在 大 多 数 的 应 用 环境 中 ,UF-CMA 安全 性 已 足够 。 


15.2 基于 身份 的 密 钥 隔离 密码 方案 


密 钥 泄露 可 能 是 对 密码 系统 最 具 灾 难 性 的 破坏 ,因为 一 旦 密 钥 被 攻击 者 窃取 ,即使 密码 
算法 以 及 所 基于 的 安全 假设 都 是 安全 的 ,整个 密码 系统 也 不 再 安全 。 在 实际 环境 中 ,攻击 者 
通常 也 会 选择 窃取 用 户 的 私 钥 , 而 不 是 直接 攻击 密码 算法 或 安全 假设 ,因为 前 者 相对 而 言 更 
容易 。 正 因为 如 此 ,人 们 一 直 在 研究 如 何 避 免 密 钥 泄露 造成 的 危害 。 简 单 来 讲 ,目前 的 研究 
思路 可 以 大 致 分 为 两 种 9。 一 种 思路 是 防止 密 钥 被 穷 取 ,这 类 方法 通常 使 用 防 帘 扰 密码 模 
块 ,如 IC 卡 等 存放 密 钥 。 这 种 方法 可 以 在 很 大 程度 上 防止 攻击 者 获取 密 钥 ,但 又 面临 着 密 
钥 设 备 (特别 是 便携 设备 ) 被 窃取 的 问题 。 另 外 ,这 种 方法 通常 对 硬件 设备 有 较 高 的 要 求 ,对 
普通 应 用 来 说 成 本 过 高 。 另 一 种 思路 是 接受 密 钥 容易 被 窃取 这 一 现实 , 转 而 考虑 如 何 降低 
密 钥 被 窃取 带 来 的 危害 。 目 前 关于 这 类 方法 的 研究 成 果 比 较 多 ,如 秘密 共享 方法 5 、 门 
限 密码 方法 [~5 .前 摄 密码 方法 生前 向 安全 密码 方法 入、 密 钥 隔 离 密码 方法 中 
和 入 侵 容忍 密码 方法 "* 包 等 。 

密 钥 隔离 密码 方案 (Key-Insulated Cryptography) 最 早 是 由 Dodis 等 人 提出 的 B9 ,其 基 
本 思想 是 把 用 户 私 钥 拆 分 成 两 部 分 ,一 部 分 存放 在 安全 性 较 差 的 密码 运算 设备 中 (如 用 户 的 
笔记 本 电脑 ), 另 一 部 分 存放 在 一 个 被 称 为 Base 的 物理 安全 的 设备 中 (如 家 中 的 台式 机 ) 。 
本 节 主 要 论述 如 何 把 密 钥 隔离 的 思想 引入 到 ID-PKC 之 中 。 首 先 给 出 了 基本 的 基于 身份 的 
密 钥 隔离 密码 方案 (Identity-Based Key-Insulated Cryptography,IDKIC) ,包含 一 个 加 密 方 
案 (IDKIE) 和 一 个 签名 方案 (IDKIS) 。 然 后 针对 密 钥 隔离 密码 方案 中 的 信道 安全 问题 提出 
了 解决 方案 ,提出 了 一 种 可 抵抗 主动 攻击 者 的 IDKIE 方案 (Active-Adversary-Resistant 
IDKIE,AR-IDKIE)。 在 RO 模型 下 ,可 证 明 上 述 方案 的 安全 性 。 


15.2.1 基于 身份 的 密 钥 隔离 加 密 方案 


本 节 主 要 介绍 一 种 基于 身份 的 密 钥 隔 离 加 密 方案 (ldentity-Based Key-Insulated 
Encryption Scheme,IDKIE) 。 
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1. IDKIE 模型 

同 其 他 密 钥 隔离 密码 方案 类 似 ,IDKIE 中 用 户 的 私 钥 被 拆 分 成 两 部 分 ,由 两 个 设备 分 
别 持 有 : 一 个 设备 是 用 户 的 密码 运算 设备 (如 用 户 的 笔记 本 电脑 ) ,为 方便 起 见 称 之 为 
User; 另 一 个 设备 存放 用 户 的 另 一 部 分 私 钥 ,定期 产生 密 钥 更 新 信息 (如 用 户 存放 在 家 中 的 
人 台式 机 ), 称 之 为 Server。 称 User 和 Server 持 有 的 用 户 部 分 私 钥 为 Home key, 分 别 记 为 
Skm,u 和 Skm,s。IDKIE 方案 的 整个 生命 周期 被 划分 为 多 个 连续 的 时 间 段 ,如 2009 年 12 月 、 
2010 年 1 月 ,2010 年 2 月 ,……, 记 这 些 时 间 段 为 t;。 在 -1 时 间 段 结束 时 ,User 向 Server 
索取 t 时 间 段 的 密 钥 更 新 信息 , 记 为 Kum., 。 使 用 Home key Skw.u 和 密 钥 更 新 信息 
Kum., ‘User 可 以 计算 出 在 时 间 段 的 临时 私 钥 , 记 为 Tkm., ,用 户 生 成 新 的 临时 私 钥 后 立 
即 删除 之 前 的 临时 私 钥 。User 使 用 Thin, RT ELTE t: 时 间 段 完全 自主 地 解密 密 文 。 

方案 中 各 实体 之 间 的 关系 如 图 15. 1 所 示 。 


PKG 
Skip ~ 


密 钥 更 新 信息 Kup, 


Server 


图 15.1 方案 中 各 实体 之 间 的 模型 


同 传统 密 钥 隔离 密码 方案 类 似 , 在 IDKIE 方案 中 攻击 者 可 以 多 次 侵入 User 设备 ,并 获 
得 其 中 的 Home key 和 临时 私 钥 。 但 攻击 者 只 能 获得 其 侵入 时 的 用 户 临 时 私 钥 ,其 他 时 间 
段 的 临时 私 钥 仍 是 安全 的 (总 假设 用 户 会 立即 删除 旧时 间 段 的 临时 私 钥 )。 攻 击 者 还 可 以 获 
得 Server 端的 Home key, 但 仅 获得 Server 端的 Home key 或 仅 截获 密 钥 更 新 信息 不 会 影 
响 任 何 时 间 段 用 户 私 钥 的 安全 性 。ID-PKC 的 特殊 性 质 还 使 得 攻击 者 可 以 与 恶意 用 户 串 
通 ,但 掌握 再 多 用 户 的 私 钥 , 也 无 助 于 攻击 者 攻击 其 他 合法 用 户 的 私 钥 。 当 然 , 如 果 在 用 户 
私 钥 生命 周 期 内 ,攻击 者 既 攻破 了 User 端 也 攻破 了 Server 端 ,那么 就 可 以 获得 用 户 的 完整 
私 钥 ; 或 者 如 果 获 得 User 端的 Home key Skm.u 后 又 可 以 截获 以 后 的 密 钥 更 新 信息 ,攻击 者 
就 可 以 获得 以 后 时 间 段 的 用 户 临时 私 钥 。 正 是 由 于 这 个 原因 ,通常 密 钥 隔离 密码 方案 都 假 
设 Server 是 足够 安全 的 (存放 在 家 中 ) ,或 者 User 和 Server 的 交互 是 通过 安全 信道 进行 的 。 
对 于 通过 非 安 全 信道 进行 密 钥 更 新 的 情况 将 在 15. 2. 3 小 节 讨论 ,并 给 出 相应 的 解决 方案 。 

定义 15.7 IDKIE 是 一 个 由 以 下 6 个 函数 组 成 的 六 元 组 IDKIE: = ( PGen, KGen, 
UpdGen, UserUpd, Enc, Dec}. 

(D PGen: 公开 参数 生成 函数 。 输 入 安全 参数 1* ,输出 系统 公开 参数 params AER 
4] (Master key)s。 

(2) KGen: 用 户 私 钥 初 始 生成 函数 。 输 入 用 户 身 份 ID 和 系统 公开 参数 params ,输出 
用 户 的 Home key{Skm.u ,Skm,s})。 

(3) UpdGen: 密 钥 更 新 信息 生成 函数 。 输 入 Server 端 Home key Skis ,时 间 段 上 和 公 
FEM params, fH ih 上 时 间 段 的 密 钥 更 新 信息 Kum. o 


ai 
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(4) UserUpd: 用 户 密 钥 更 新 函数 。 输 入 User 端 Home key Skip.y ,时 间 段 +, 密 钥 更 新 
信息 Kuw,, 和 公开 参数 params, 输 出 用 户 在 上 时 间 段 的 临时 私 钥 Tkm,' 或 者 输出 错误 标记 
上。 如 果 成 功 生 成 Tkm,, , 则 立即 删除 上 个 时 间 有 段 的 临时 私 钥 。 

(5) Enc: 加 密 函 数 。 输 入 用 户 身 份 信息 ID. [8] Be 2. 83 3c M 和 公开 参数 params, $ 
出 密 文 <t,C>。 

(6) Dec: ÈA. WAB C>, t 时 间 段 的 临时 私 钥 Thy, 和 公开 参数 
params, 输 出 明文 M 或 者 输出 错误 标记 | 。 

PGen 函数 由 PKG 在 系统 初始 化 时 运行 ,在 整个 系统 生命 周期 内 仅 运 行 一 次 。KGen 
函数 由 PKG 在 每 个 用 户 初始 注册 时 运行 ,生成 用 户 的 Home key, 之 后 用 户 自 行 维护 密 钥 ， 
不 需要 PKG 参与 。UpdGen 函数 是 在 每 个 时 间 段 结束 时 (根据 用 户 需要 也 可 以 在 任意 时 
刻 ) 由 Server 运行 的 ,用 于 生成 User 的 密 钥 更 新 信息 。Enc 由 依赖 方 使 用 ,用 于 产生 密 文 ， 
密 文中 包含 了 加 密 时 的 时 间 段 信息 。UserUpd 函数 和 Dec 函数 均 由 User 运行 ,分 别 用 于 
更 新 临时 私 钥 和 解密 密 文 。 

IDKIE 模型 中 ,假设 攻击 者 只 能 多 项 式 次 (Polynomial Times) 地 攻破 User 端 并 获得 
Home key 和 临时 私 钥 。 在 这 种 假设 下 研究 IDKIE 方案 的 安全 性 。 令 A 是 IDKIE 方案 的 
一 个 概率 多 项 式 时 间 攻 击 者 ,为 了 模仿 实际 环境 中 攻击 者 的 行为 ,允许 A 在 与 挑战 者 的 游 
戏 中 询问 以 下 Oracle. 

(D Home key Oracle Om: 输入 用 户 的 身份 信息 ID 和 PE{U,S}(U 表示 User. S X 
JR Server) ,输出 对 应 的 Home key Sky». 

(2) Temp key Oracle On: 输入 用 户 身份 信息 ID 和 时 间 段 ,输出 对 应 的 临时 私 
钥 Tkm.: 

(3) Dec Oracle Ope: 输入 用 户 身 份 信息 ID 和 密 文 二 t+,C 二 ,输出 使 用 临时 私 钥 Tko.: 
对 C 的 解密 结果 。 

(4) L-R Oracle Oir: 输入 用 户 身份 信息 ID" ,时 间 段 上 和 两 个 等 长 的 明文 mo mi , 输 
出 挑战 密 文 C* =Enc(ID* ,t* ,ms), 其 中 5E {0,1) 是 事先 选 定 的 。 攻 击 者 猜测 5 的 值 。 

此 处 没有 直接 为 攻击 者 提供 密 钥 更 新 信息 Oracle, 而 是 使 用 Home key Oracle 和 Temp 
key Oracle 模拟 这 种 攻击 能 力 。 如 果 攻 击 者 已 经 掌握 了 Server 端 Home key, 那 么 它 可 以 
自行 生成 任何 时 间 段 的 密 钥 更 新 信息 , 这 种 情况 下 获取 密 钥 更 新 信息 的 行为 可 以 用 
Om(ID,S) 模 拟 。 如 果 攻 击 者 已 经 掌握 了 User 端的 Home key, 其 获取 密 钥 更 新 的 行为 可 以 
通过 询问 Ox, ID ,U) Al On (ID, 四 模拟。 如果 攻击 者 不 掌握 任何 一 方 的 Home key, 显 然 其 
攻击 能 力 完全 包含 在 前 两 种 攻击 者 能 力 中 ,因此 ,可 以 将 其 强化 为 上 述 任 一 种 攻击 者 。 

为 了 表述 方便 ,可 以 把 Os, On 统一 表示 成 Os ,并 使 用 不 同 的 字符 串 输入 区 分 ,如 
Os. (Hk ,ID,P) 表 示 Om (1D,P)。 

对 一 个 Os 询问 集合 Q, 称 Home key Skip,p Æ Q-exposed 的 ,如 果 Os. (Hk,ID,P)EQ; 
称 临时 私 钥 Tkp.: 是 Q-exposed AY, MF Ose (Tk, ID. 0 € Q。 如 果 临 时 私 钥 Tk, 是 
Q-exposed 的 ,或 者 Home key Skip.y 和 Skn.s 都 是 Q-exposed 的 , 则 称 该 IDKIE 方案 是 
COD, t,Q)-compromised 的 。 

在 游戏 中 ,允许 攻击 者 随意 访问 多 项 式 次 数 的 上 述 各 种 Oracle( 但 仅 访问 L-R Oracle 
一 次 ) ,如 果 攻 击 者 最 终 在 L-R Oracle 询问 Or CID* ,t* ,* ) 中 输出 了 对 5 正确 的 猜测 5'， 
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使 得 6 二 5b ,并 且 满 足以 下 条 件 : 该 IDKIE 方案 不 是 (ID” ,t* ,Q)-compromised 的 ; 设 Om 返 
回 的 密 文 为 C* ,攻击 者 没 向 Op 询问 过 Oo. CID* ,i* ,C* ), 则 称 攻 击 者 赢得 了 与 挑战 者 的 
游戏 。 攻 击 者 获胜 的 优势 定义 为 
Adva(k) =| Pr[b = 6']—1/2 | 
定义 15.8 称 IDKIE 方 案 在 自 适应 选择 密 文 攻击 下 是 语义 安全 的 (IDKIE-CCA) ,如 
果 对 任意 概率 多 项 式 时 间 攻 击 者 A, 在 上 述 游戏 中 的 优势 Adva(k) 都 是 可 忽略 的 。 


2. 基于 双 线 性 映射 的 IDKIE 方案 

这 里 基于 椭圆 曲线 上 的 双 线 性 映射 ,构造 了 一 个 新 的 IDKIE 方案 。 该 方案 可 以 看 做 是 
以 Boneh-Franklin IBE 方案 中 为 基础 修改 而 来 的 ,在 继承 Boneh-Franklin IBE 的 参数 空间 
的 基础 上 ,增加 了 Hash 函数 H.. FRERE XNA e Boneh-Franklin IBE 方案 多 了 
T=rHu 和 时 间 段 +, 其 他 密 文 内 容 与 其 完全 一 致 。IDKIE 方案 的 具体 过 程 如 下 。 

(D) PGen。 输 入 安全 参数 1* ,PKG 生成 BDHP 参数 (q,G ,G: 6) ,选择 G 上 的 任意 生 
成 元 PEG, ,随机 选择 sE eZ) ,计算 Pr 一 s*P。 选 择 Hash 函数 H, (00,1) 一 CO H: iG 
(0,1) ,H,:(0,1) X (0,1)—Z; ,H,:(0,1)^— (0,1)" M H,:(0,1) * >G, ,其 中 是 明文 
长 度 。 系 统 公 开 参 数 params 二 {G1 ,G; e P. Po, Hi Ho HH, H, ,系统 主 密 钥 为 ;。 

(2) KGen。 输 入 主 密 钥 s. 系统 公开 参数 params 和 用 户 身份 信息 ID, 计 算 Qn = 
H, (ID) €G, dy = sQp € G1。 随 机 选择 Sk; ERG1, 令 Skm,s = dp 一 Skou, 输 出 
{Skmw,u , Skm,s}。 

(3) UpdGen。 输 入 Server 的 Home key Skwm,s ,时 间 段 +t 和 系统 公开 参数 params, 
Server 计算 Hu= H, (t) ,随机 选择 z € eZ} ,计算 X 王 Skns 十 zHuEG 和 Y 一 zPEG, 返 
回 Kup =<X,Y>, 

(4) UserUpd。 输 入 User 的 Home key Skm,u、 时 间 段 t、 密 钥 更 新 信息 Kup, =<X.Y> 
和 系统 公开 参数 params, User 首先 检查 等 式 6(Skm.u 十 X,P) 二 2(Qw Pra) * e(HuG) Y) A 
成 立 。 如 果 不 成 立 , 返 回 错误 标记 上 ;否则 , 令 临时 私 钥 Tkm.: =<Skpu +X, Y>. 

(5) Enc。 输 入 用 户 身份 信息 ID Bd] Bt 2, B] 3c M 和 系统 公开 参数 params, 计 算 Qm 一 
A, OD) ,随机 选择 vcER {0,1)" ,计算 r=H; (o, MD. Hu— H, CO fü g —e(Q Pew). C= 
<rHu,rP ,o@H2(g"),M@H,(o)>. BAK, C>. 

(6) Dec。 输 入 密 文 一 it,C 二 其 中 C= 二 T,U,V,W 放 ,临时 私 钥 Tkm, =<Xm. Y m> 
和 系统 公开 参数 params, 首先 计算 0 — VO Hz; (Ein DD ),M H, (c) ,其 次 令 r= 

elT.Y m.) 
H: (c,M) ,检查 是 否 U 一 rP。 如 果 不 等 ,返回 错误 标记 」 ;和 否则 ,返回 M。 
IDKIE 方案 的 正确 性 很 容易 验证 ,因为 有 等 式 
e(Xmn,U) _ @(dp +xHu.rP) _ ê (Qm. Pra) + é(aHu,rP) " 
ECT,Yn) e(GrHu,zP) e€CrHu.rP) 
成 立 , 所 以 如 果 加 密 运 算 按照 规定 的 流程 执行 ,解密 者 一 定 可 以 从 密 文中 解密 出 明文 消息 
M 并 接受 该 消息 。 

现在 来 分 析 一 下 IDKIE 方案 的 效率 。 用 p 表示 pairing 运算 m RANG, 上 的 乘法 ,e 表 

ZG; ERES $E n 表示 明 文 长 度 ,|G | 表示 G 群 上 一 个 点 的 二 进 制 表示 长 度 。 则 IDKIE 


i 


方案 加 密 过 程 需 要 的 运算 量 为 2m 十 1p 十 le, 解 密 过 程 需 要 的 运算 量 为 2p 十 lm。 对 于 密 钥 
更 新 过 程 ,Server 需要 1m 来 计算 密 钥 更 新 信息 ,用 户 需 要 3p 来 验证 密 钥 更 新 信息 完整 性 。 
密 钥 更 新 信息 长 度 为 21G' | , 密 文 长 度 为 2a 二 2|G | 。 

可 以 证 明 ,IDKIE 方案 在 自 适应 选择 密 文 攻击 下 是 语义 安全 的 ,其 详细 证 明 可 参阅 文 
献 [33]。 


15.2.2 基于 身份 的 密 钥 隔离 签名 方案 


本 小 节 基 于 15. 2. 1 小 节 给 出 的 IDKIE 方案 ,构造 了 一 个 基于 身份 的 密 钥 隔离 签名 方 
案 (Identity-based Key Insulated Signature Scheme,IDKIS)。 该 签名 方案 的 基本 模型 与 上 
面 给 出 的 IDKIE 相同 ,用 户 的 私 钥 被 拆 分 成 两 部 分 ,分 别 由 User 和 Server 持 有 ,在 获得 了 
当前 时 间 段 的 密 钥 更 新 信息 后 ,User 可 以 独自 完成 签名 运算 。 攻 击 者 仅 攻 破 User 端 只 能 
获得 当前 时 间 段 的 签名 能 力 , 仅 攻破 Server 端 不 能 危及 任何 时 间 段 的 安全 , 仅 获得 密 钥 更 
新 信息 也 不 会 有 助 于 伪造 任何 时 间 段 的 签名 。 

定义 15.9  IDKIS 是 一 个 由 以 下 6 个 函数 组 成 的 六 元 组 IDKIS; = (PGen, KGen, 
UpdGen, UserUpd, Sign, Verify) 。 

(1) PGen: 公开 参数 生成 函数 。 输 入 安全 参数 1* ,输出 系统 公开 参数 params Al =H 
钥 (Master key)s。 

(2) KGen; 用 户 私 钥 初 始 生成 函数 。 输 入 用 户 身 份 ID 和 系统 公开 参数 params, ,输出 
用 户 的 Home key{Skmn.u,Sknps)}。 

(3) UpdGen: 密 钥 更 新 信息 生成 函数 。 输 入 Server 的 Home key Skip,s Mf fa] BE t 和 公 
开 参 数 params, 输 出 上 时 间 段 的 密 钥 更 新 信息 Kum... 

(4) UserUpd: 用 户 密 钥 更 新 函数 。 输 入 User 的 Home key Skip... Ht la] BE t, HE 
信息 Kup, MAFA params ,输出 用 户 在 上 时 间 段 的 临时 私 钥 Tkm,, 或 者 输出 错误 标记 
二 。 如 果 成 功 生成 Tkm.… 则 立即 删除 上 个 时 间 段 的 临时 私 钥 。 

(5) Sign: 签名 函数 。 输 入 时 间 段 t,t 时 间 段 的 临时 私 钥 Thy, ,消息 M 和 公开 参数 
params, 输 出 对 消息 M 的 签名 一 t,o>> 。 

(6) Verify: 签名 验证 函数 。 输 入 消息 M, 签 名 者 身份 信息 ID. AE HIR o MAH 
参数 params, 输 出 签名 验证 结果 。 如 果 验 证 通过 ,接受 该 签名 ;否则 ,拒绝 。 

攻击 者 的 能 力 与 15. 2. 1 小 节 定 义 的 IDKIE 方案 攻击 者 能 力 是 相同 的 ,可 以 询问 任意 
用 户 的 Home key 和 任意 时 间 段 的 临时 私 钥 。 攻 击 者 最 终 输出 一 个 伪造 的 签名 结果 。 

IDKIS 方案 攻击 者 A 可 以 访问 多 项 式 次 的 下 列 Oracle。 

(D Home key Oracle Om: 与 15.2.1 小 节 相 同 。 

(2) Temp key Oracle On: 与 15. 2. 1 小节 相 同 。 

(3) Sign Oracle On: 输入 用 户 身份 信息 ID .时 间 段 + 和 消息 M ,输出 使 用 相应 的 临时 
私 钥 Thin, Xt M 的 签名 结果 o。 

最 后 ,攻击 者 A 输出 伪造 的 用 户 ID? 在 时 间 段 二 对 消息 M" 的 签名 结果 o* 。 

类 似 于 15. 2. 1 小节 ,这 里 也 引入 Q-exposed 和 (ID,t,Q)-compromised 的 概念 。 称 攻 
击 者 A 最 终 赢得 与 挑战 者 的 游戏 ,如 果 最 终 输 出 的 结果 二 ID ,三 4M" uot 二 是 合法 的 签名 
结果 ,并 且 满 足 : 该 签名 方案 不 是 (ID” ,1" ,Q)-compromised;A 没有 就 (ID" £^ ,M" ) 询 问 
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过 Osmo ri A 的 优势 定义 为 成 功 输出 一 个 伪造 签名 的 概率 ,这 个 概率 取决 于 挑战 者 和 
攻击 者 A 在 游戏 中 选择 的 随机 数 。 

定义 15.10 F IDKIS 方 案 在 选择 消息 攻击 下 是 存在 性 非 伪造 的 (IDKIS-UF-CMA)， 
如 果 对 任意 概率 多 项 式 时 间 攻 击 者 A, 在 上 述 游戏 中 的 优势 AdvA(&) 都 是 可 忽略 的 。 

基于 双 线 性 映射 构造 的 IDKIS 方案 包含 6 个 算法 ,具体 过 程 如 下 。 

(1) PGen: 输入 安全 参数 1* ,PKG 生成 BDHP 参数 (q,G ,Gs ,2) ,选择 G 上 的 任意 生 
成 元 PEG, ,随机 选择 s € &Z; ,计算 Pry =sP. WEF Hash 函数 Hi: (0.1) >G, Hn: 
(0,1) ' 一 Gl 和 H,:(0,1) * 一 G1, 其 中 是 明文 长 度 。 系统 公 开 参 数 params={G,,G,,é, 
P, Poos Hi Hn Hy) ,系统 主 密 钥 为 so 

(2) KGen: 输入 主 密 钥 s. 系统 公开 参数 params 和 用 户 身份 信息 ID, 计 算 Qn — 
Hi(ID)EGi,dw = sQn € G1。 随 机 选择 Skm.u ErG1, 令 Skm,s = dp 一 Skoo, 输 出 
{Skm.u » Skm.s} o 

(3) UpdGen: 输入 Server 的 Home key Skips, Mt la] BE et 和 系统 公开 参数 params, 
Server 计算 Hu— H, (t) ,随机 选择 zERZ; ,计算 X=Skw.st+xrHu€G, 和 Y 一 zPEG, 返 
E Kup =<X,Y>, 

(4) UserUpd: 输入 User 的 Home key Sky; 、 时 间 段 +、 密 钥 更 新 信息 Kum, — — X Y> fl 
系统 公开 参数 params, User 首先 检查 等 式 zCSknp,u 十 X,P) 一 z(Qnp Pew) * eC HuCGO ,站 是 否 成 
立 。 如 果 不 成 立 ,返回 错误 标记 上 ;否则 , 令 临时 私 钥 Tko =<Skp.u tX. Y>. 

(5) Sign: $f A R [al Et t, Ii AY AGA Thin, — — Xm; Ym > ÑE M 和 系统 公开 参数 
params, 随 机 选取 r € eZ; ,计算 U = Xmu t+rH, (M),.V=Yp...W=rP, ti th BH AR 
<t>, HP o=<U.V,W>. 

(6) Verify: 58 A AE d AS Ro HP o= <U. V. W>, AP £ fs i ID .消息 M 和 
系统 公开 参数 params, WIELA A GR elU, P) —e(Qp Pra) * €CH, CO V) * eCH,CND 
三 ) 成 立 。 如 果 等 式 成 立 则 接受 该 签名 结果 ;否则 ,拒绝 。 

IDKIS 方案 可 以 看 做 是 “两 层 ” 的 SOK-IBS 原始 签名 方案 "" : 临时 私 钥 可 以 看 做 是 使 
用 SOK-IBS 原始 方案 对 “消息 ”的 签名 结果 ,以 此 作为 私 钥 , 再 次 使 用 SOK-IBS 原始 方案 
对 “消息 ”M 签名 就 得 到 IDKIS 方案 的 签名 结果 。 

现在 来 分 析 一 下 IDKIS 方案 的 效率 。 用 p 表示 pairing 运算 ,m RAG, 上 的 乘法 ,e 表 
zm G 上 的 客运 算 ,|Gi | 表示 G 群 上 一 个 点 的 二 进 制 表示 长 度 。 则 IDKIS 方案 签名 过 程 需 
要 的 运算 量 为 2m, 验 证 过 程 需要 的 运算 量 为 4p。 对 于 密 钥 更 新 过 程 ,Server 需要 lm Kit 
算 密 钥 更 新 信息 ,用 户 需要 3p 来 验证 密 钥 更 新 信息 完整 性 。 签 名 长 度 为 31G | 。 

可 以 证 明 ,IDKIS 在 选择 消息 攻击 下 是 存在 性 非 伪 造 的 ,详细 证 明 可 参阅 文献 [33]。 


15.2.3 可 抵抗 主动 攻击 者 的 IDKIE 方案 


传统 的 密 钥 隔离 方案 都 没有 对 密 钥 更 新 信息 采取 保护 措施 。15. 2. 1 小 节 的 IDKIE 方 
案 虽 然 可 以 对 密 钥 更 新 信息 进行 合法 性 检查 ,但 没有 对 密 钥 更 新 信息 的 机 密 性 进行 保护 。 
当然 ,通过 分 析 可 知 ,攻击 者 仅 获得 密 钥 更 新 信息 不 会 对 用 户 私 钥 安 全 造成 危险 。 然 而 , 攻 
击 者 如 果 侵入 User 设备 并 获得 其 中 的 部 分 私 钥 后 ,还 能 够 一 直 获 得 密 钥 更 新 信息 ,那么 就 
可 以 利用 部 分 私 钥 和 密 钥 更 新 信息 获得 用 户 以 后 所 有 时 间 段 的 临时 私 钥 ! 这 与 密 钥 隔离 密 
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码 方案 的 初衷 显然 是 相悖 的 。 密 钥 隔 离 密 码 方案 的 目的 就 是 使 得 攻击 者 即使 能 够 攻破 
User 端 若干 次 ,也 只 能 获得 攻击 发 生 时 的 临时 私 钥 。 

传统 密 钥 隔离 密码 方案 之 所 以 很 少 考虑 信道 安全 问题 ,是 因为 这 些 方案 大 都 假设 在 其 
应 用 环境 中 User 设备 (如 笔记 本 电脑 ) 和 Server 设备 (如 家 中 的 台式 机 ) 间 的 密 钥 更 新 是 面 
对 面 进行 的 (如 通过 数据 线 连 接 ) ,而 且 由 用 户 亲 自 完 成 。 在 这 种 情况 下 , 密 钥 更 新 信道 的 安 
全 通常 是 能 够 得 到 保证 的 。 因 为 攻击 者 虽然 可 能 较 容 易 地 窃取 User 设备 并 获得 当时 的 临 
时 私 钥 和 User 端的 部 分 私 钥 , 却 很 难 再 使 用 Server 设备 更 新 私 钥 。 然 而 ,如 果 把 密 钥 隔离 
密码 方案 应 用 到 网 络 环境 中 ,就 必须 考虑 密 钥 更 新 的 信道 安全 问题 。 因 为 此 时 User 和 
Server 可 能 是 两 个 相距 甚 远 的 计算 机 , 密 钥 更 新 只 能 通过 网 络 连接 进行 ,而 攻击 者 可 能 很 容 
易 地 截获 网 络 中 传输 的 密 钥 更 新 信息 。 

密 钥 更 新 信道 安全 问题 初 看 上 去 似乎 很 容易 解决 : 使 用 TLS/SSL 协议 在 User 和 
Server 间 建 立 一 个 安全 信道 ,认证 并 秘密 地 传送 密 钥 更 新 信息 。 然 而 这 种 办 法 虽然 能 够 抵 
抗 被 动 攻击 者 ( 即 只 被 动 监 听信 道 消息 的 攻击 者 ) 的 攻击 ,对 主动 攻击 者 ( 即 除 监听 外 还 主动 
A UM ER ,修改 信道 中 的 消息 ) 却 仍然 是 脆弱 的 。 因 为 当 攻击 者 侵入 了 User 端 设备 后 , 除 
了 可 以 获得 User 的 Home key 和 临时 私 钥 外 ,还 可 以 获得 User 用 于 建立 安全 信道 的 认证 
密 钥 , 这 样 攻击 者 就 可 以 使 用 该 密 钥 假 冒 User 向 Server 请 求 密 钥 更 新 ,从 而 不 断 地 获得 用 
户 的 临时 私 钥 。 当 然 如 果 用 户 能 及 时 发 现 攻击 者 假冒 User, 就 可 以 通过 更 换 密 钥 的 方式 阻 
止 攻击 者 继续 获得 临时 私 钥 。 但 通常 用 户 只 有 在 灾难 之 后 才 察 觉 到 私 钥 泄露 。 因 此 ,需要 
考虑 的 是 如 何在 主动 攻击 者 控制 的 信道 上 ,安全 地 实现 密 钥 隔离 密码 方案 的 密 钥 更 新 过 程 ， 
防止 攻击 者 通过 获得 User 端 部 分 私 钥 和 密 钥 更 新 信息 长 期 地 获得 用 户 的 私 钥 。 

使 用 防 帘 扰 密码 设备 可 以 防止 攻击 者 获得 部 分 私 钥 和 认证 私 钥 ,但 就 目前 的 实际 情况 
看 , 防 窗 扰 密码 设备 仍 不 普及 ,而 且 成 本 较 高 ,对 普通 应 用 来 说 并 不 实际 。 因 此 ,这 里 必须 假 
设 攻击 者 在 侵 人 User 设备 后 可 以 获得 User 的 所 有 私 钥 。 

首先 必须 接受 的 事实 是 ,在 攻击 者 掌握 了 User 所 有 私 钥 后 ,除非 采用 离线 认证 方式 ， 
否则 ,攻击 者 总 能 假冒 User 获得 密 钥 更 新 信息 。 为 此 , 退 而 求 其 次 : 使 User 能 够 在 较 短 的 
时 间 内 发 现 这 种 攻击 行为 ,或 者 使 攻击 者 很 快 就 失去 对 User 的 部 分 私 钥 的 掌握 ,从 而 避免 
攻击 者 长 期 获得 用 户 私 钥 。 

基本 思路 是 使 用 一 个 带 密 钥 确认 的 认证 密 钥 协商 协议 (Authenticated Key agreement 
protocol with key Confirmation ,AKC) ,在 User 和 Server 之 间 建 立 一 个 安全 信道 用 于 传输 
密 钥 更 新 信息 ,并 且 作 为 一 个 安全 的 前 摄 更 换 协 议 (Securely Proactive Refreshment 
protocol, SPR) 随 机 更 换 双 方 的 Home key, 而 同时 保持 用 户 的 完整 私 钥 不 变 。 

在 这 个 方案 中 ,User 向 Server 请 求 密 钥 更 新 信息 时 会 调用 SPR 协议 认证 协商 一 个 用 
于 安全 传输 密 钥 更 新 信息 的 会 话 密 钥 , 同 时 自动 更 换 双方 的 Home key。 这 样 ,即使 攻击 者 
已 经 掌握 了 User 当前 的 所 有 私 钥 (Home key 和 AKC 私 钥 ) ,如 果 攻 击 者 只 是 被 动 监听 信 
道 , 则 基于 AKC 协议 安全 性 ,攻击 者 不 能 获得 信道 上 传输 的 任何 密 钥 更 新 信息 ,对 前 摄 更 
换 后 User 的 Home key 也 一 无 所 知 ;如 果 攻 击 者 主动 假冒 User 向 Server 请 求 密 钥 更 新 信 
息 , 则 Server 必然 自动 调用 SPR 协议 更 换 自 己 的 Home key, 这 样 ,之 后 User 向 Server 请 
求 密 钥 更 新 时 就 会 发 现 密 钥 更 新 信息 不 合法 ,进而 察觉 到 攻击 者 的 存在 。 

为 了 达到 这 一 目的 ,要 求 AKC 协议 须 具 有 以 下 性 质 。 
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COD 已 知 密 钥 安全 (Known-key security)。 某 次 密 钥 协商 生成 的 会 话 密 钥 的 泄露 不 会 
危及 其 他 会 话 密 钥 的 安全 。 

(2) 前 向 机 密 性 (Forward secrecy)。 如 果 认 证 双方 用 于 密 钥 协商 的 长 期 私 钥 泄 露 ,之 
前 协商 产生 的 会 话 密 钥 的 安全 不 会 受到 影响 。 

(3) 抗 已 知 私 钥 假冒 (Key-compromise impersonate resilience) 。 攻 击 者 即使 已 知 实体 
4 用 于 密 钥 协商 的 长 期 私 钥 ,也 不 能 向 A 冒充 其 他 实体 进行 密 钥 协商 。 

(4) 抗 未 知 密 钥 共享 (Unknown key-share resilience) 。 攻 击 者 不 能 欺骗 实 体 A 与 实体 
C 建立 一 个 会 话 密 钥 ,而 让 A 以 为 是 在 与 实体 B 进行 密 钥 协商 。 


1. AR-IDKIE 模型 

基于 上 述 思路 ,在 15.2.1 小节 IDKIE 方案 的 基础 上 ,给 出 了 一 个 可 抵抗 主动 攻击 者 的 
密 钥 隔离 加 密 方案 (Active-adversary-Resistant IDKIE, AR-IDKIE)。AR-IDKIE 方案 同 
IDKIE 方案 基本 类 似 : 用 户 的 私 钥 被 拆 分 成 两 部 分 ,分 别 由 User 和 Server 存储 ,系统 整个 
生命 周期 被 划分 成 连续 的 时 间 段 ,在 每 个 时 间 段 结束 时 ,User 向 Server 请 求 密 钥 更 新 。 但 
与 IDKIE 方案 不 同 的 是 ,在 AR-IDKIE 方案 中 ,User 与 Server 间 的 交互 使 用 SPR 协议 安 
全 地 进行 。 为 了 执行 SPR 协议 ,User 和 Server 除了 持 有 各 自 的 Home key 外 ,还 持 有 用 于 
AKC 协议 的 认证 密 钥 (Authentication key) ,User 和 Server 的 认证 私 钥 分 别 记 为 Akm,u 和 
Akm,s。 每 次 成 功 执行 SPR 协议 后 ,User 和 Server 的 Home key 都 会 自动 更 换 , 但 用 户 的 
完整 私 钥 保 持 不 变 。 称 Home key 更 换 的 次 数 为 更 换 阶 段 , 记 为 r, 用 户 初始 注册 时 ,r 一 0。 

在 AR-IDKIE 方案 中 ,假设 User 端 以 一 种 只 读 的 方式 或 可 检验 完整 性 的 方式 存放 系 
统 的 公开 参数 ,Server 的 认证 公 钥 及 协议 代码 。 这 个 假设 是 可 行 的 ,因为 上 述 信息 在 整个 生 
命 期 内 保持 不 变 , 可 以 以 只 读 形式 存储 。 另 外 ,这 个 假设 也 是 必需 的 ,因为 如 果 上 述 信息 可 
以 被 攻击 者 修改 ,那么 当 攻击 者 离开 User 设备 时 ,仍然 可 以 利用 修改 过 的 协议 代码 或 系统 
参数 继续 控制 用 户 设备 的 行为 。 实 际 上 ,这 个 假设 在 目前 PKI 系统 中 也 是 必需 的 ,因为 如 
果 攻 击 者 可 以 蔡 换 用 户 系统 中 存储 的 CA 证 书 ,那么 攻击 者 可 以 利用 用 户 对 CA 的 绝对 信 
任 进行 各 种 攻击 。 在 PKI 中 ,总 是 假设 有 多 种 方法 确保 用 户 系统 中 的 CA 证 书 不 会 被 替换 
(如 通过 各 种 公开 渠道 发 布 CA 证 书 ) ,在 AR-IDKIE 方案 中 也 是 同样 的 。 

定义 15.11 AR-IDKIE 是 一 个 由 以 下 7 个 函数 组 成 的 七 元 组 AR-IDKIE: = { PGen, 
KGen,SPR,UpdGen, UserUpd, Enc. Dec} 。 

CD PGen: 公开 参数 生成 函数 。 输 入 安全 参数 1* ,输出 系统 公开 参数 params AEH 
钥 (Master key)s。 

(2) KGen: 用 户 私 钥 初 始 生成 函数 。 输 入 用 户 身 份 ID 和 系统 公开 参数 params ,输出 
用 户 的 Home key{Skg,u,Skfb.s} 和 认证 密 钥 {Akm,c,Akm.s) 。 

(3) SPR: 安全 前 摄 更 换 协 议 。 输 入 User 和 Server 的 认证 密 钥 {Akm,o,Akrm.s} ,双方 
的 Home key{Skip,u，Skin,s) ,以 及 系统 公开 参数 params, 输 出 会 话 密 钥 Seskip 和 新 的 Home 
key(Ski,u ,Sk 和 3) ,并 删除 旧 的 Home key{Skip,v » Skip,s } o 

(4) UpdGen: 密 钥 更 新 信息 生成 函数 。 输 入 Server 的 Home key Skips» At Bt £ 和 公 
FBR params, 输 出 上 时 间 段 的 密 钥 更 新 信息 Kuip.: 。 

(5) UserUpd: 用 户 密 钥 更 新 函数 。 输 入 User 的 Home key Skip,c 、 时 间 段 +\ 密 钥 更 新 
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信息 Kup, MAH SE MX params, 输 出 用 户 在 上 时 间 段 的 临时 私 钥 Tkm,, 或 者 输出 错误 标记 
| 。 如 果 成 功 生成 Tkmn… 则 立即 删除 上 个 时 间 段 的 临时 私 钥 。 

(6) Enc: 加 密 函 数 。 输 入 用 户 身 份 信息 ID. [8] Be 2. 83 3c M 和 公开 参数 params, $f 
出 密 文 <t,C>。 

(7) Dec: fE RAG AEX C>, t HAAN A AA Tho, 和 公开 参数 
params, 输 出 明文 M 或 者 输出 错误 标记 | 。 

每 次 User 请 求 密 钥 更 新 时 ,双方 使 用 SPR 协议 认证 对 方 身份 并 协商 一 个 会 话 密 钥 , 然 
JA » Server 生成 密 钥 更 新 信息 Kuio,, 并 使 用 会 话 密 钥 安全 地 传送 给 User, User 在 验证 密 钥 
更 新 信息 正确 后 ,生成 新 的 临时 私 钥 Tkm,, ,并 删除 上 一 时 间 段 的 临时 私 钥 。 之 后 ,双方 均 
从 会 话 密 钥 计算 一 个 密 钥 更 换 参考 值 ,根据 这 个 值 更 换 自己 的 Home key, 并 安全 删除 旧 的 
Home key, 

除了 具有 IDKIE 方案 的 安全 性 以 外 ,AR-IDKIE 方案 还 可 以 使 已 经 获得 User 端 Home 
key 和 认证 私 钥 的 攻击 者 在 一 个 时 间 段 内 或 者 被 发 现 ,或 者 丧失 对 User 端 Home key 的 掌 
握 。 这 种 安全 性 依赖 于 AKC 协议 的 支持 ,在 前 面 给 出 了 对 AKC 协议 的 安全 要 求 , 相 关 安 
全 性 定义 已 经 在 文献 L51] 一 [53] 中 给 出 ,文献 [22] 和 [25] 还 给 出 了 基于 身份 的 AKC 协议 
的 安全 性 定义 。 下 面 在 AKC 协议 安全 的 假设 下 ,定义 AR-IDKIE 方案 的 安全 性 。 

AR-IDKIE 方案 的 目标 是 : 攻击 者 多 次 攻破 User 也 只 能 获得 有 限时 间 段 的 解密 能 力 ， 
仅 获 得 Server 端的 Home key 不 会 危及 任何 时 间 段 的 安全 。 攻 击 者 仅 获 得 密 钥 更 新 信息 
或 者 密 钥 更 换 参 考 值 不 会 危及 任何 时 间 段 的 私 钥 安全 。 

必须 指出 ,如 果 攻 击 者 获得 了 Server 的 Home key 和 认证 私 钥 ,就 可 以 向 User 假冒 
Server 而 不 会 被 User 发 现 。 而 且 如 果 Server 只 被 动 响应 请 求 , 而 不 主动 向 User 发 送 密 钥 
更 新 信息 ,那么 Server 也 很 难 发 现 自 己 被 攻击 者 假冒 。 这 样 攻击 者 就 可 以 与 User 同步 更 
换 Home key, 并 伺机 再 窃取 User 端的 Home key, 最 终 获得 用 户 的 完整 私 钥 。 这 种 攻击 行 
为 仅 靠 密码 算法 无 法 抵抗 ,但 Server 通常 都 是 安全 性 较 高 的 密码 设备 或 系统 部 件 ,因此 在 
这 里 ,假设 Server 总 是 安全 的 ,当然 , 仅 获得 Server 端的 Home key 不 会 危及 任何 时 间 段 的 
安全 。 

令 A 是 AR-IDKIE 方案 的 一 个 概率 多 项 式 时 间 攻 击 者 ,为 了 模仿 实际 环境 中 攻击 者 的 
行为 ,允许 A 在 与 挑战 者 的 游戏 中 访问 下 面 的 各 种 Oracle. 

(1) Home key Oracle Om: 输入 用 户 的 身份 信息 人 D,PE{U,S}) 以 及 Home key 更 换 阶 
段 r, 输 出 对 应 的 Home key Skip». 

(2) Temp key Oracle On: 输入 用 户 身份 信息 ID 和 时 间 段 ,输出 对 应 的 临时 私 
This 

(3) Key refreshment Oracle Ox, : 输入 用 户 身份 信息 ID 以 及 Home key 更 换 阶 段 r, 输 
出 Home key 更 换 参 考 值 Ri 。 

(4) Dec Oracle One: 输入 用 户 身份 信息 ID AR <C> ,输出 使 用 临时 私 钥 Tko.: 
对 C 的 解密 结果 。 

(5) L-R Oracle Or: 输入 用 户 身份 信息 ID* 、 时 间 段 1* 和 两 个 等 长 的 明文 mo ms , 输 
出 挑战 密 文 C* =Enc(ID* ,t* om) PFE {0,1) 是 事先 选 定 的 。 攻 击 者 猜测 5 的 值 。 

IE] 15. 2. 1 小 节 的 IDKIE 方案 安全 性 定义 相 比 ,AR-IDKIE 方案 攻击 者 增加 了 访问 
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Key Refreshment Oracle 的 能 力 , 可 以 获得 SPR 协议 产生 的 Home key 更 换 参 考 值 。 增 加 
这 个 Oracle 是 为 了 模拟 实际 环境 中 攻击 者 可 能 在 SPR 协议 运行 时 攻破 User 设备 ,从 而 获 
得 SPR 协议 的 中 间 结 果 。 另 外 同 IDKIE 方案 安全 性 定义 相同 ,不 直接 提供 密 钥 更 新 信息 
Oracle ,而 是 通过 Home key Oracle fll Temp key Oracle 来 模拟 攻击 者 获取 密 钥 更 新 信息 的 
行为 。 

类 似 于 15. 2. 1 小节, 为 了 方便 描述 ,把 On Or. Ox. 3 种 Oracle 统一 表示 成 Os. ,并 使 
用 不 同 的 字符 串 区 分 。 

攻击 者 可 以 任意 询问 上 述 Oracle 多 项 式 次 (L-R Oracle 仅 询 问 一 次 ) ,但 为 了 模拟 实际 
情况 ,要 求 攻击 者 必须 遵守 “删除 原则 ”, 即 攻击 者 在 询问 过 更 换 阶段 + 时 的 Home key Ja, 
不 能 再 询问 之 前 阶段 的 Home key 和 密 钥 更 换 参考 值 ,因为 在 实际 实现 时 ,这 些 数据 应 该 都 
已 被 安全 删除 。 该 原则 形式 化 地 描述 如 下 。 

(D Os. Hk ID. P 2) BFE Ose (Hk, ID, P, rO ZAHI WMR c. 

(2) Ose (Hk, ID, P, r) YVE Os. (Kr, ID, P, ) 之 前 询问 ,如 果 e >to 

对 于 一 个 Ose. 询 问 集合 Q, WEK Home key Skip.» ft Q-exposed 的 ,如 果 符 合 以 下 某 一 
条 件 : 

(D Os.. (Hk,ID,P,r) EQ. 

(2) tr>0,0se(Kr,ID,r 一 1) EQ H. Skip 是 Q-exposed 的 。 

(3) Ox. (Kr. ID. EQ H. Skibi Q-exposed AY. 

称 临 时 私 钥 Tkm,, 是 Q-exposed 的 ,如 果 Os. (Tk, ID.) EQ. 

如 果 临 时 私 钥 Tkm., 是 Q-exposed 的 ,或 者 存在 一 个 c7 0. flf. Skip. HI Skip. Abd 
Q-exposed 的 , 则 称 该 AR-IDKIE 方案 是 (ID,z,Q)-compromised 的 。 

在 游戏 中 ,如 果 攻 击 者 最 终 在 L-R Oracle 询问 中 输出 了 对 5 正确 的 猜测 5 ,使 得 5 二 5b， 
并 且 满 足以 下 条 件 : 该 IDKIE 方案 不 是 (ID" ,1" ,Q)-compromised 的 ;假设 On 返回 的 密 文 
Wy C* ,攻击 者 没有 向 解密 Oracle On 询问 过 Op CID" «£^ «C^ ), 则 称 攻击 者 赢得 了 与 挑战 
者 的 游戏 。 攻 击 者 获胜 的 优势 定义 为 Adva(k) 二 |Pr[5 二 5"] 一 1/2|。 

定义 15.12 称 AR-IDKIE 方案 在 自 适 应 选择 密 文 攻击 下 是 语义 安全 的 (AR-IDKIE- 
CCA) ,如 果 对 任意 概率 多 项 式 时 间 攻 击 者 A, 在 上 述 游 戏 中 的 优势 Adva Ck) ME AT BW 
略 的 。 


2. 基于 双 线 性 映射 的 AR-IDKIE 方案 

这 里 基于 双 线 性 映射 构造 了 一 个 AR-IDKIE 方案 。 该 方案 可 以 使 用 任何 满足 前 面 所 
述 要 求 的 AKC 协议 。 为 了 能 够 在 ID-PKC 中 提供 一 个 完整 的 AR-IDKIE 方案 ,使 用 了 文 
献 [25] 中 给 出 的 基于 身份 的 AKC 协议 。 

文献 L[25] 中 的 AKC 协议 共有 3 个 函数 ,具体 过 程 如 下 。 

(D Setup: 对 输入 的 安全 参数 k € Zz.BDH 参数 生成 器 G 生成 一 个 双 线 性 群 C, 一 
{q,G,Gz 6€), S h H q E Gi 群 上 的 余 因 子 (Co-factor)( 即 G 的 椭圆 曲线 基 群 的 阶 为 
qh), PAG, 的 生成 元 。 选 择 一 个 随机 的 主 密 钥 sSE Z; 和 4 个 单 向 函数 H:{0,1)* >G ez: 
Gi XG,>Z; Hi H; iG; (0,1) rfi n i S BILE BE DL — E 89 MAC 函数 
MAC.. Ce). RU AFS BU Gh. PG eG 8 Hx, Hi Hi MAO) , 主 密 钥 为 ;。 
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(2) Extract: 对 一 个 给 定 的 身份 IDE1{0,1)" ,计算 Qw — HCOD) € G, , 则 该 用 户 的 私 钥 
为 dy =sQn EG. 

(3) Exchange: 假定 该 协议 的 两 个 参与 方 A MB 的 身份 分 别 为 IDA 和 IDs , 私 钥 分 别 
为 ds 和 da , 则 交互 过 程 如 下 。 

© A 选择 随机 数 zE RZ; ,计算 R\ 一 zQA, 并 发 送 Rs 给 也 。 

© 也 选择 随机 数 yERZ; ,计算 Ra 一 yQe,sA 一 r(RA, Ry) «sp n Rp RAD ,以 及 共享 秘 
密 skmak 二 E(Qa 1 Qu) 0709 — es AQ Ra Cy s) hdi). Fit Kı = Hi kia) 
Ks 二 H; (skipax) od BRIE Ry fl MACg, ADs ID, ,Rs ,Ra) 给 A。 

@ A 收 到 B 的 消息 后 ,计算 s.m ORA ,Rs),ss =x Rp Ra) ARIES BH skivax = 
E(QA Qu) 0*9 一 EC(ssQs 十 Re,(z 十 ssA)hds)。 并 计算 K, = Hi (skwax), K: = 
Hs (skwmak)。 最 后 A RI MACk, (ID, IDs ,Ra Ro) fA B. 

在 15.2.1 小 节 的 IDKIE 方案 基础 上 ,通过 增加 SPR 协议 得 到 了 可 前 摄 更 换 Home 
key 的 AR-IDKIE 方案 ,加 、 解 密 过 程 和 密 文 空间 与 15. 2. 1 小 节 的 IDKIE 方案 完全 相同 。 
AR-IDKIE 方案 共 包括 7 个 函数 ,具体 过 程 如 下 。 

(1) PGen: 输入 安全 参数 1* ,PKG 生成 BDH 参数 (g,Gi ,G: 6) ,选择 G, 上 的 任意 生 
成 元 PEG, ,随机 选择 s€ eZ) ,计算 Ppw 二 sP。 选 择 Hash 函数 H, :{0,1 Gi H: iG; 
(0,1)* Hs (0,1)? X {0,1}"—>Z; «Hy :(0,1)779(0,1)^ Ha: (0,1) 一 G M H,:G.>G, ,其 
中 是 明文 长 度 。 系 统 公 开 参 数 params— (G; Gz +ê, P, Po Hi Hi Hi H,4H,H RK 
统 主 密 钥 为 so 

(2) KGen: 输入 主 密 钥 s. 系统 公开 参数 params 和 用 户 身份 信息 ID, 计 算 Qi — 
Hi (ID) € Gi ,dp 一 sQnEG。 随 机 选择 Skb.u ErG1, 令 Skibs = dw — Skfp.vu, 输 出 
{Skip,u » Ski,s } 。 

(3) SPR: User 和 Server 使 用 各 自 的 认证 密 钥 Aku A Akm,s 运 行 AKC 协议 互相 认 
证 身份 ,并 得 到 一 个 共享 秘密 SSmax 。 双 方 计算 Home key 更 换 参 考 值 Rip =H, Sp € 
G, 和 会 话 密 钥 Seskm = Hi (SSipak )。User 更 换 其 Home key 为 Ski. = Skip,u + Rip. 
Server 更 换 其 Home key 为 Skis = Skins — Rio, 双方 删除 各 自 旧 的 Home key Skip, 
和 Skip,s。 

(4) UpdGen: 输入 Server 的 Home key Skips. HB t 和 系统 公开 参数 params, 
Server 计算 Hu— H, CO ,随机 选择 x € Z; ,计算 X 一 Skip.s 十 zHuEG M Y=xcP EG, ik 
回 Kup, =<X.Y>. 

(5) UserUpd: 输入 User 的 Home key Skip,c \ 时 间 段 +、 密 钥 更 新 信息 Kup,, 二 二 X,Y 二 和 
系统 公开 参数 params, User 首先 检查 等 式 ECSkp.u 十 X,P) 一 z(Qn,Pru)。e(Hu(D YE 
否 成 立 。 如 果 不 成 立 ,返回 错误 标记 | ;否则 令 临 时 密 钥 Tk, — — Skip.o tX Y>. 

(6) Enc: 输入 用 户 身 份 信息 ID. At Ta Be i、 明文 M 和 系统 公开 参数 params ,计算 Qn= 
H, OD) ,随机 选择 vcEk {0,1)", 计 算 r 一 Hs(o,MD  Hu— HL (Al g— (Qs Pew). & C= 
«rHu,.rP oH; (G0 .MOH,(G)7., BAK, C. 

(D) Dec: 输入 密 文 <t,C>> 其 中 C—— T.U. VW. itt BH Tko, — — X, Ym, > 


w 


REREH RESTR 


和 系统 公开 参数 params ,首先 计算 o=VOH, IPTE ),M HBH (c) ,其 次 令 r= 
昌 ;(o,M) ,检查 是 否 U==rP。 如 果 不 等 ,返回 错误 标记 | ;否则 ,返回 M. 

AR-IDKIE 方案 的 加 、 解 密 效率 与 5. 2. 1 小 节 的 IDKIE 方案 相同 。 用 p 表示 pairing 
运算 ,m RRG, 上 的 乘法 ,e RRG LHRH. W AR-IDKIE 方案 加 密 过 程 需要 的 运算 
量 为 2m 十 1p 十 le, 解 密 过 程 需要 的 运算 量 为 2p 十 1m。SPR 协议 需要 在 User 和 Server 间 
进行 两 轮 交 互 ,根据 文献 [25] 中 的 分 析 结果 ,在 使 用 预计 算 的 情况 下 ,运行 SPR 协议 需要 双 
方 各 计算 1p 十 le。 对 于 密 钥 更 新 过 程 ,Server 需要 lm 来 计算 密 钥 更 新 信息 ,用户 需要 3p 
来 验证 密 钥 更 新 信息 完整 性 。 

对 AR-IDKIE 方案 的 安全 性 分 析 分 两 步 进行 ,首先 分 析 方 案 中 SPR 协议 的 安全 性 , 然 
后 在 SPR 协议 安全 性 的 基础 上 ,分 析 AR-IDKIE 整体 方案 的 安全 性 。 详 细 分 析 可 参阅 文 
献 [33]。 


15.3 ID-PKI 密 钥 管理 方案 


ID-PKI 在 许多 方面 比 传统 PKI 更 具 优 势 , 如 结构 简单 ,使 用 方便 等 ,但 在 拥有 这 些 优 
势 的 同时 ,ID-PKI 也 还 有 若干 问题 尚 待 解决 ,最 突出 的 就 是 ID-PKI 的 密 钥 管 理 问题 。 该 问 
题 主 要 包括 用 户 私 钥 分 发 、 密 钥 撤 销 和 密 钥 托管 3 个 方面 。 目 前 针对 这 些 问 题 已 有 若干 解 
决 方 案 。 但 这 些 方案 大 多 只 解决 了 部 分 问题 ,目前 尚 没有 一 个 针对 上 述 3 个 问题 的 完整 解 
决 方案 ,而 且 由 于 所 基于 的 底层 密码 算法 不 同 ,不 同方 案 也 很 难 配合 使 用 ,有 的 方案 甚至 还 
存在 一 定 的 安全 缺陷 。 针 对 这 种 情况 ,本 节 利 用 15. 2 节 中 提出 的 基于 身份 的 密 钥 隔 离 密码 
方案 ,给 出 了 针对 ID-PKI 密 钥 管理 问题 的 完整 解决 方案 。 


15.3.1 研究 背景 和 相关 研究 进展 


ID-PKI 中 以 用 户 身 份 信 息 作为 公 钥 , 密 钥 中 心 (PKG) 使 用 系统 主 密 钥 为 每 个 用 户 生 成 
私 钥 , 这 就 导致 ID-PKI 密 钥 管理 与 传统 基于 证 书 的 PKI 密 钥 管理 有 很 大 不 同 ,相对 而 言 ， 
前 者 更 复杂 ,解决 更 困难 。 

首先 ,由 于 ID-PKI 中 所 有 用 户 私 钥 都 由 PKG 产生 ,因此 必然 要 求 PKG 把 私 钥 安 全 地 
分 发 到 用 户 手中 ,而 在 传统 PKI 中 ,用 户 私 钥 通常 由 用 户 自己 生成 ,因此 不 需要 特别 考虑 密 
钥 分 发 问题 。 当 然 , 如 果 单 纯 考 虑 ID-PKI 中 私 钥 分 发 的 安全 性 ,那么 该 问题 很 容易 解决 ， 
比如 可 以 离线 认证 用 户 身份 并 面对面 地 分 发 私 钥 ,但 这 种 方式 只 适 于 规模 较 小 ,而 且 密 钥 分 
发 周期 较 长 的 应 用 环境 。 当 大 规模 应 用 或 者 密 钥 有 效 期 比较 短 时 ,这 种 方式 效率 太 低 , 难 以 
实用 。 如 何在 保证 用 户 私 钥 传输 安全 性 的 同时 , 尽 可 能 提高 效率 ,并 减少 用 户 参与 是 密 钥 分 
发 方案 需要 着 重 研究 的 内 容 。 

其 次 ,由 于 ID-PKI 中 用 户 公 钥 与 身份 是 一 一 绑 定 的 ,传统 PKI 中 的 各 种 密 钥 撤销 方案 
在 ID-PKI 环境 中 并 不 适用 ,主要 表现 在 以 下 两 个 方面 。 

CD 传统 的 密 钥 撤销 方案 如 CRL、OCSPr' 等 要 求 依赖 方 在 使 用 对 方 公 钥 前 ,通过 查 
询 证 书 状态 的 方式 判断 对 方 密 钥 是 否 撤销 。 但 在 ID-PKI 中 ,由 于 没有 了 证 书 这 一 载体 ,并 
且 用 户 身 份 表示 方法 可 能 不 确定 ,依赖 方 很 难 精确 地 查询 到 对 方 的 密 钥 撤销 状态 。 而 且 即 
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使 能 够 根据 用 户 身份 信息 精确 地 查询 到 密 钥 撤销 状态 ,这 种 查询 方式 也 违背 了 ID-PKC 的 
WR , 即 依赖 方 不 必 事 先 向 第 三 方 查询 就 可 以 使 用 对 方 的 公 钥 加 密 消息 或 验证 签名 。 

(2) 传统 PKI 中 ,用 户 撤销 原 有 密 钥 后 ,可 以 更 换 一 对 新 公 、 私 钥 , 再 由 CA 重新 颁发 一 
个 证 书 。 但 在 ID-PKI 中 , 公 钥 与 用 户 身份 一 一 对 应 ,用 户 不 可 能 随便 更 换 自 己 的 身份 。 
此 ,ID-PKI 中 的 密 钥 撤 销 方案 应 对 依赖 方 尽 可 能 的 透明 ,使 得 依赖 方 在 使 用 对 方 公 钥 加 密 
消息 或 验证 签名 前 不 必 先 查询 其 撤销 状态 。 另 外 , 密 钥 撤销 方案 还 应 该 允许 在 撤销 并 更 换 
用 户 私 钥 的 同时 ,保持 用 户 的 公 钥 即 身份 不 需 改变 。 

最 后 , 密 钥 托管 是 ID-PKC 天 生存 在 的 问题 : PKG 为 所 有 用 户 生 成 私 钥 ,自然 也 就 掌握 
了 所 有 用 户 私 钥 。 密 钥 托 管 虽然 在 某 些 情况 下 是 有 益 的 (如 政府 部 门 需要 检查 犯罪 分 子 通 
信和 内容 时 ) ,在 更 多 情况 下 却 是 应 该 避免 的 ,如 密 钥 托管 导致 了 不 可 否认 性 服务 无 法 实现 ,而 
不 可 否认 性 是 电子 商务 中 不 可 缺少 的 一 类 安全 服务 。 因 此 ,如 何 恰当 地 解决 密 钥 托管 问题 
也 是 设计 ID-PKI 系统 时 需要 着 重 考虑 的 。 


1. 密 钥 撤销 

Boneh 和 Franklin 在 文献 [5] 中 除了 给 出 IBE 方案 外 ,还 给 出 了 一 个 密 钥 撤销 方案 (以 
下 简称 BF 方案 )。 在 该 方案 中 ,用 户 的 公 钥 中 除了 包含 其 身份 信息 外 ,还 包含 一 个 密 钥 有 
效 期 ,如 “Alice || 2009-12”"。 这 样 ,在 有 效 期 过 后 ,该 密 钥 被 自动 撤销 。BF 方案 非常 简单 ， 
不 会 给 用 户 和 PKG 增加 任何 计算 量 和 通信 量 。 但 该 方案 只 能 被 动 撤销 ,不 能 在 有 效 期 结 
东 前 强制 撤销 用 户 密 钥 。 这 样 , 如 果 用 户 私 钥 在 其 有 效 期 开始 时 就 被 攻击 者 窃取 ,即使 用 户 
能 够 立即 发 现 私 钥 泄 露 , 也 只 能 等 待 该 密 钥 过 期 后 自动 撤销 ,由 此 可 能 造成 较 大 的 损失 。 为 
了 降低 密 钥 泄露 造成 的 损失 ,该 方案 必须 使 密 钥 的 有 效 期 非常 短 , 但 这 就 使 得 用 户 必 须 频繁 
地 向 PKG 申请 私 钥 ,给 用 户 和 PKG 都 造成 很 大 负担 ,降低 了 系统 的 效率 。 

在 文献 [54] 中 ,Boneh 等 人 提出 了 使 用 安全 中 介 部 件 (Security Mediator, SEM) 3 9i 9 
钥 撤销 功能 的 思想 ,并 给 出 了 一 个 中 介 RSA (mediated RSA) 算 法 ,之 后 又 提出 了 基于 身份 
的 中 介 RSA 15359 , Libert 和 Qusquater 在 Boneh-Fraklin IBE 方案 基础 上 构造 了 门限 
IBE 方 案 , 并 借鉴 Boneh 等 人 中 介 RSA 的 思想 ,使 用 (2,2) 门 限 IBE 提出 了 一 个 基于 SEM 
的 密 钥 撤销 方案 (以 下 简称 LQ 方案 )。 上 述 方案 的 基本 思想 都 是 把 用 户 私 钥 拆 分 成 两 
部 分 ,分 别 由 用 户 和 SEM 掌握 ,用 户 所 有 的 密码 运算 都 需要 与 SEM 共同 完成 。 用 户 每 次 
解密 密 文 或 签名 消息 时 , 需 先 向 SEM 请 求 协助 ; 收 到 用 户 请 求 后 ,SEM 先 检查 用 户 的 撤销 
状态 ,如 果 该 用 户 密 钥 没有 被 撤销 ,SEM 使 用 自己 掌握 的 部 分 私 钥 计算 一 个 中 间 结 果 发 送 
给 用 户 ,否则 拒绝 响应 用 户 请 求 。 用 户 根据 SEM 返回 的 中 间 结 果 和 自己 计算 的 中 间 结 果 
得 出 最 后 的 解密 或 签名 结果 。Libert 和 Quisquater 指出 所 有 的 安全 门限 密码 方案 都 可 以 
用 于 构造 基于 SEM 的 密 钥 撤销 方案 ,不 过 他 们 给 出 的 门限 IBE 方案 只 具有 弱 CCA 语义 安 
AHE , Baek 和 Zheng 对 该 方案 又 进一步 改进 :9 ,使 其 加 密 方案 达到 CCA 语义 安全 。 

LQ 方案 的 优点 是 可 以 实现 SEM 对 用 户 密 钥 的 即时 撤销 ,因为 收 到 密 钥 撤 销 请 求 后 ， 
SEM 可 以 使 用 户 立 即 丧 失 解密 或 签名 能 力 。 这 样 ,LQ 方案 可 以 提供 极 细 粒 度 的 密 钥 撤 销 
效果 。 然 而 ,为 了 实现 这 一 效果 ,该 方案 在 其 他 性 能 上 做 了 较 大 牺牲 。 首 先 ,可 以 看 出 ,该 方 
案 中 用 户 每 次 解密 或 签名 都 必须 在 线 等 待 SEM 的 回应 ,这 就 降低 了 用 户 的 解密 /签名 速 
度 ,并 增加 了 用 户 的 网 络 通信 和 负担。 其 次 ,该 方案 使 得 用 户 不 能 进行 离线 的 解密 /签名 运算 ， 
然而 在 很 多 场合 中 ,离线 解密 /签名 是 必需 的 。 另 外 ,在 一 个 ID-PKI 系统 中 ,SEM 必须 处 理 
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大 量 的 用 户 解密 /签名 请 求 , 当 系统 规模 比较 大 使 得 用 户 解密 频繁 时 ,SEM 容易 成 为 系统 的 
瓶颈 。 

文献 [59] 提 出 了 一 种 基于 身份 的 多 层 密 钥 隔离 加 密 方案 (IKE) ,使 用 户 不 与 PKG 交互 
就 可 以 更 新 私 钥 , 并 借 此 提供 一 种 密 钥 撤 销 手 段 。 为 了 获得 高 安全 性 ,该 方案 把 私 钥 拆 分 成 
多 层 ,每 一 层 对 应 不 同 长 度 的 时 间 段 (如 3 个 月 或 1 天 ) ,分 别 存放 在 不 同 的 硬件 设备 中 。 这 
个 方案 在 降低 密 钥 泄露 风险 方面 比较 有 效 , 但 就 密 钥 撤销 而 言 仍 有 不 足 。 密 钥 撤 销 根据 发 
起 方 不 同 可 以 大 致 分 为 两 类 : 用 户 发 起 的 和 系统 发 起 的 。 由 用 户 发 起 的 密 钥 撤销 很 容易 理 
解 , 当 用 户 发 现 私 钥 泄露 后 自然 需要 撤销 该 密 钥 。 由 系统 发 起 的 密 钥 撤销 可 能 不 常见 , 却 同 
样 重要 ,比如 当 某 公司 职员 辞职 后 ,该 公司 必须 立即 撤销 之 前 为 该 职员 颁发 的 密 钥 , 否 则 该 
职员 辞职 后 仍 可 能 获得 公司 内 部 信息 。 在 文献 L[59] 的 方案 中 ,如 果 支 持 系统 发 起 的 密 钥 撤 
销 , 则 必须 有 至 少 一 层 的 私 钥 由 某 个 系统 部 件 掌 握 。 然 而, 这样 该 方案 的 非 交互 密 钥 更 新 特 
性 就 走失 了 ,而 且 同 样 存在 传统 密 钥 隔离 方案 的 信道 安全 问题 。 


2. 密 钥 托管 

在 BF FRI P , Boneh 和 Franklin 建议 使 用 门限 密码 方法 把 主 密 钥 分 散 存 放 在 多 个 
PKG 中 ,以 保证 主 密 钥 的 安全 性 ,同时 避免 密 钥 托管 。Chen 等 人 在 文献 [60] 中 也 采用 了 多 
个 PKG 方法 避免 密 钥 托管 问题 ,但 与 文献 L[5] 的 区 别 是 ,该 方案 中 系统 的 完整 主 密 钥 是 所 
有 PKG 主 密 钥 之 和 ,而 不 是 采用 门限 方法 得 出 的 。 

另 一 类 解决 密 钥 托管 问题 的 方法 是 除了 PKG 生成 的 私 钥 外 ,用 户 自己 还 选择 一 部 分 
私 钥 , 这 样 PKG 无 法 获得 用 户 的 完整 私 钥 信 息 , 这 类 方法 包括 Riyami 和 Paterson 的 无 证 
3B CCertificateless) % 83 7j RY , Gentry 的 基于 证 书 (Certificate-based) 的 密码 方案 和 
Cheng 等 人 在 文献 [62] 中 提出 的 方案 等 。 这 类 方案 不 需要 增加 PKG 的 个 数 ,但 在 避免 密 钥 
托管 的 同时 ,这 些 方案 也 丧失 了 ID-PKC 的 优势 ,因为 在 这 些 方案 中 ,依赖 方 在 加 密 消息 或 
者 验证 签名 时 ,必须 像 传统 PKI 中 查找 证 书 那样 ,事先 查找 对 方 的 另 一 部 分 公 钥 。 

Lee 等 人 提出 了 一 种 ID-PKC 密 钥 分 发 协议 "中 (以 下 简称 Lee 方案) 以 避免 密 钥 托管 问 
题 。 在 该 方案 中 ,用 户 私 钥 由 一 个 KGC(Key Generation Center) 和 多 个 KPA(Key Privacy 
Authority) 共 同 产 生 , 这 样 KGC 不 能 掌握 用 户 的 完整 私 钥 。 该 方案 为 了 提高 用 户 申请 私 钥 
的 效率 , 仅 要 求 用 户 向 KGC 认证 身份 ,而 不 需 向 KPA 认证 。 但 可 以 发 现 ,如 果 KPA 不 验 
证 请 求 者 身份 ,那么 KGC 完全 可 以 假冒 用 户 向 KPA 索取 私 钥 信 息 , 最 后 得 到 用 户 的 完整 
私 钥 , 因 此 ,该 方案 实际 上 并 没有 彻底 解决 密 钥 托管 问题 。 但 如 果 要 求 KPA 也 认证 用 户 身 
份 ,那么 该 方案 与 多 PKG 的 方案 “ 相 比 并 没有 太 大 优势 ,其 至 效率 更 低 , 因 为 该 方案 需 
要 KGC 和 所 有 KPA 串 行 计 算 用 户 私 铀 。Gangishetti 等 人 提出 了 一 个 对 Lee 方案 的 改进 
方案 "中 ,提高 了 效率 。Obh 等 人 借鉴 Lee 方案 的 密 钥 托管 解决 办 法 和 LQ 方案 的 密 钥 撤销 
思想 ,提出 了 一 种 试图 同时 解决 密 钥 托管 和 密 钥 撤销 问题 的 方案 (以 下 简称 OLM 方 
FO), (I BIST AA Lee 等 人 的 方案 一 样 都 没有 彻底 解决 密 钥 托管 问题 。 关 于 Lee 
方案 的 分 析 还 可 参见 文献 [66 ,67]。 


3. BADR 
Lee 方 案 " 中 的 密 钥 分 发 协议 使 用 言 因子 来 保证 私 钥 信 息 的 机 密 性 。 用 户 在 申请 私 
钥 前 , 先 选择 一 个 随机 数 z, 计 算 二 zxP, 在 向 KGC Al KPA 申请 私 钥 时 发 送 X。 这 样 只 有 
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知道 z 的 实体 , 即 用 户 自己 ,能够 从 KGC 和 KPA 返回 的 消息 中 得 到 完整 的 用 户 私 钥 。 该 
方案 的 安全 前 提 是 X 在 从 用 户 到 KGC 和 KPA 传输 过 程 中 不 会 被 自 改 ,否则 攻击 者 可 以 通 
过 替换 X 获得 用 户 私 钥 。 为 了 保证 X 的 完整 性 ,可 以 通过 离线 方式 或 预 设 安全 信道 的 方式 
传送 和 ,文献 [63] 没 有 就 此 问题 详细 讨论 。 

Sui 等 人 在 文献 [68] 中 给 出 了 一 个 ID-PKC 中 匿名 并 保密 分 发 用 户 私 钥 的 方案 (以 下 简 
fk Sui 方案 )。 该 方案 中 存在 一 个 为 所 有 用 户 生 成 私 钥 的 KGC 和 一 个 用 于 验证 用 户 身 份 的 
本 地 注册 权威 (Local Registration Authority, LRA)。 用 户 在 申请 私 钥 时 ,首先 向 LRA 离 
线 认证 身份 ,并 注册 一 个 口令 ,LRA 把 用 户 身 份 信息 和 口令 安全 地 传送 给 KGC。 之 后 ,用 
户 凭 口令 向 KGC 认证 身份 ,并 使 用 讶 因子 保证 私 钥 从 KGC 到 用 户 的 传输 过 程 中 的 机 密 
性 。 申 请 私 钥 成 功 后 ,用 户 和 KGC 均 立 即 删除 口令 。 该 方案 通过 使 用 口令 保证 盲 因子 不 
会 被 攻击 者 替换 。 该 方案 的 安全 前 提 是 LRA 是 可 信 的 ,并 且 LRA f KGC 之 间 有 安全 信 
道 , 这 与 传统 PKI 是 类 似 的 。 传 统 PKI rh. RA 也 必须 是 可 信 的 ,并 且 RA 和 CA 之 间 必 须 
有 可 信 信 道 以 保证 用 户 证 书 申请 信息 不 会 被 算 改 。Sui 方案 使 用 多 个 KGC 共同 产生 用 户 
私 钥 以 避免 密 钥 托 管 。 


15.3.2 基于 密 钥 隔 离 密 码 方案 的 ID-PKI 密 钥 管 理 方案 


利用 15. 2 节 提 出 的 基于 身份 的 密 钥 隔离 密码 方案 ,可 以 构造 一 个 ID-PKI 系统 ,并 对 
密 钥 分 发 、 密 钥 撤销 和 密 钥 托管 问题 提供 完整 解决 方案 。 

实际 应 用 环境 中 的 密 钥 撤 销 可 以 分 为 用 户 发 起 和 系统 发 起 两 种 。 为 了 支持 系统 发 起 的 密 
钥 撤销 ,必须 有 一 个 系统 部 件 能 够 控制 用 户 的 密码 运算 能 力 , 如 BF 方案 中 中 的 PKG 和 LQ 方 
案 5 中 的 SEM。 容 易 发 现 ,15. 2 节 的 密 钥 隔离 密码 方案 中 的 Server 部 件 也 具有 这 种 能 力 。 
密 钥 隔离 密码 方案 中 的 Server 部 件 可 以 通过 控制 发 送 密 钥 更 新 信息 实现 对 User 解密 /签名 能 
力 的 控制 。 可 以 利用 密 钥 隔 离 密码 方案 的 这 个 特性 ,设计 ID-PKI 密 钥 管理 方案 。 


1. 系统 结构 

方案 中 设置 一 个 可 信 系 统 部 件 , 称 其 为 SEM(Security Mediator), SEM 持 有 所 有 用 户 
Server 端的 Home key, 用 户 持 有 各 自 User 端的 Home Key,SEM 定期 更 新 用 户 的 临时 私 
钥 ,并 通过 控制 密 钥 更 新 实现 对 用 户 密 钥 撤销 状态 的 控制 。 

类 似 于 BF 方案 ,该 方案 通过 设置 多 个 PKG 来 解决 密 钥 托管 问题 ,每 个 PKG 都 是 独立 
自治 的 ,各 持 有 一 部 分 主 密 钥 ,超过 门限 数量 的 PKG 可 以 计算 出 完整 的 用 户 私 钥 。 这 里 使 
用 门限 密码 的 方法 而 不 是 像 文献 [60] 中 简单 相 加 的 方法 是 为 了 增加 PKG 的 鲁 棒 性 ,使 得 
在 少量 PKG 损坏 的 情况 下 ,系统 仍 能 保持 正常 运行 。 

文献 [63] 指 出 ,使 用 多 个 PKG 造成 每 次 申请 私 钥 都 需要 用 户 多 次 认证 身份 ,增加 了 用 
户 负 担 。 为 此 ,借鉴 Sui 方案 " 和 传统 PKI 中 的 方法 ,在 系统 中 设置 注册 权威 机 构 (RA) 用 
于 在 初始 注册 时 离线 验证 用 户 身份 ,并 把 用 户 的 注册 信息 安全 地 传送 给 PKG 。 与 Sui 方案 
和 传统 PKI 类 似 , 在 该 方案 中 RA 也 必须 是 可 信 系 统 部 件 。 

整个 系统 的 逻辑 结构 如 图 15. 2 所 示 。 

图 15. 2 中 还 给 出 了 密 钥 分 发 和 密 钥 撤销 的 流程 ,其 中 第 四 一 四 步 是 密 钥 分 发 过 程 ,第 
回 .@ 步 是 密 钥 撤 销 过 程 。 

在 这 个 系统 中 ,假设 RA, SEM 和 PKG 都 是 可 信 的 ,而 且 这 些 系统 部 件 间 都 已 经 存在 
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mw Lid is RESTR 
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安全 信道 。 这 个 假设 同 传统 PKI 中 的 假设 是 类 似 的 。 系 统 中 每 个 PKG 都 掌握 一 个 主 密 钥 
si。 系 统 的 完整 主 密 钥 s 可 由 数量 不 低 于 门限 值 t 的 PKG 使 用 拉 格 朗 日 插值 法 计算 得 到 ， 
Bs = X ais: A: 是 拉 格 朗 日 插值 系数 , 但 在 任何 时 候 * 都 不 被 恢复 出 来 。 在 系统 初始 化 
时 ,各 PKG 使 用 拉 格 朗 日 插值 法 协同 计算 出 系统 公开 密 钥 Prw 一 SP, 并 公布 系统 公开 参 
数 ,系统 公开 参数 与 15. 2 节 介绍 的 密 钥 隔离 密码 方案 中 定义 的 完全 相同 。 需 要 指出 的 是 ， 
对 用 户 而 言 ,系统 中 只 有 一 个 PKG, 其 公开 密 钥 是 Pru 一 >P, 系 统 内 部 多 个 PKG 的 组 织 结 
构 对 其 是 透明 的 。 这 样 ,系统 内 部 增加 或 减少 PKG 的 数量 或 通过 前 摄 的 方法 ~ 外 更 新 各 
PKG 的 主 密 钥 对 用 户 不 会 有 任何 影响 。 


2， 密 铀 分 发 

密 钥 分 发 过 程 主要 包括 以 下 几 个 步骤 。 

COD 用 户 在 申请 私 钥 前 , 先 选 择 一 个 随机 数 eZ). HIF R=rP EG, 和 
Skm,u =rPpw o 

(2) 用 户 以 离线 方式 向 RA 证 明 自己 的 身份 ,并 注册 身份 信息 ID 和 随机 数 R。 

(3) RA 验证 用 户 身份 正确 后 ,将 ID 和 尺 安 全 地 分 发 给 各 PKG. 

(4) 各 PKG 使 用 自己 的 主 密 钥 TEE 4 s (Qi — FO ,其 中 Qn =H, OD € Gi ,并 将 
结果 发 送 到 SEM, 

(5) SEM 接收 到 不 低 于 z(t 为 门限 值 ) 个 d; 后 ,计算 Skm,s 二 > ,Aidi。SEM 将 二 元 组 
CID, Skins) (RFF TE AC AY BE BLE H o 

(6) SEM 使 用 Skm,s 定 期 更 新 用 户 私 钥 , 用 户 使 用 Skw.u 和 来 自 SEM 的 密 钥 更 新 信息 
Kup, HEBES ERAS] Tko.: o 

容易 验证 ,上 述 过 程 结 束 后 ,用 户 的 完整 私 钥 dw 等 于 两 部 分 Home key 之 和 , 即 dm 一 
Skm.u 十 Skm,s ,因为 有 下 面 的 等 式 成 立 , 即 

Skm.v + Skins =rPrw + 97, Adi) = sR +5(Qn — R) 
=sR+sQp—sR = sQn 
在 用 户 申 请 私 钥 过 程 中 , 即使 泄露 了 R 的 值 , 也 不 会 影响 Skou 的 安全 性 ,因为 
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(P,Ppw, 民 ,Skm,u) 构 成 了 一 个 CDH 问题 实例 。 在 CDH 问题 难 解 假设 下 ,只 要 攻击 者 不 能 
获得 用 户 选 择 的 随机 数 或 者 系统 主 密 钥 ,Skm.u 就 是 安全 的 。 在 攻击 者 不 知道 Skou hy 
情况 下 ,如 果 自 改 了 用 户 向 RA 注册 的 尺 值 ,那么 当 用 户 接收 到 SEM 发 送 的 第 一 个 密 钥 更 
新 信息 时 就 发 现 这 种 攻击 行为 (因为 密 钥 更 新 信息 具有 “足够 ”的 不 可 伪造 性 ) ,并 立即 报警 ， 
总 是 假设 用 户 在 向 RA 注册 后 会 立即 向 SEM 请 求 密 钥 更 新 。 


3. 密 钥 撤销 

SEM 在 该 系统 中 负责 控制 所 有 用 户 的 密 钥 撤销 状态 。SEM 只 要 停止 响应 用 户 的 密 钥 
更 新 请 求 , 即 可 达到 撤销 该 用 户 密 钥 的 目的 。 这 样 在 以 后 的 时 间 段 里 ,该 用 户 不 能 再 解密 任 
何 新 的 密 文 。 

对 于 用 户 发 起 的 密 钥 撤销 ,其 处 理 流程 如 图 15. 2 "PO OA Ara. MP Aci RA 
认证 身份 ,身份 验证 通过 后 ,再 经 由 RA 向 SEM 请 求 密 钥 撤销 。 这 与 传统 PKI 中 用 户 的 证 
书 撤销 流程 是 类 似 的 。 当 然 用 户 也 可 以 直接 向 SEM 认证 身份 并 请 求 撤销 密 钥 ,但 通常 情 
况 下 ,SEM 都 是 一 个 远 端 服务 器 ,而 且 此 时 又 往往 需要 离线 验证 用 户 身份 (如 通过 身份 证 、 
介绍 信 等 ) ,因此 通过 本 地 的 RA 机 构 请 求 撤销 通常 更 为 实际 。 该 方案 的 密 钥 撤销 粒度 
(Revocation Granularity) 取 决 于 密 钥 更 新 周期 的 长 短 , 周 期 越 短 , 密 钥 撤销 粒度 就 越 细 。 方 
案 中 密 钥 更 新 的 代价 非常 小 ,只 需要 少量 运算 和 一 次 网 络 连接 ,而 且 不 需要 认证 身份 ,因此 
密 钥 更 新 周期 完全 可 以 设置 得 非常 短 , 如 1 天 或 1 小 时 。 

使 用 该 方案 ,依赖 方 可 以 在 加 密 密 文 时 不 必 事 先 查询 对 方 密 钥 是 否 被 撤销 ,因为 如 果 对 
方 密 钥 没有 被 撤销 , 则 可 以 正常 解密 出 明文 ,而 如 果 对 方 密 钥 已 经 被 撤销 ,那么 不 能 获得 明 
文 的 任何 信息 。 同 样 地 ,用 户 密 钥 被 撤销 后 ,也 不 能 再 产生 任何 新 时 间 段 的 签名 结果 。 


4. RARE 

该 方案 通过 使 用 多 个 PKG 共同 产生 用 户 私 钥 避免 了 单个 PKG 托管 用 户 密 钥 的 问题 ， 
方法 与 BF 方案 是 相同 的 。 该 方案 使 用 门限 密码 技术 以 防止 若干 PKG 损毁 导致 整个 系统 
崩溃 。 另 外 ,该 系统 中 虽然 设置 了 多 个 PKG, 但 不 会 增加 用 户 的 任何 负担 ,实际 上 系统 中 
PKG 的 数量 和 位 置 对 用 户 是 透明 的 ,用 户 只 需要 在 初始 时 向 RA 注册 一 次 身份 ,之 后 定期 
从 SEM 获取 密 钥 更 新 信息 即 可 ,这 是 该 方案 同 其 他 多 权威 机 构 方案 * 9 48 EE RO — 
优势 。 

值得 一 提 的 是 , 密 钥 托管 并 非 一 无 是 处 ,在 某 些 情形 下 反而 非常 有 用 ,如 当 公安 机 关 需 要 
解密 犯罪 分 子 通信 记录 时 ,或 者 用 户 需要 恢复 丢失 的 私 钥 时 。 因 此 ,应 预 留 一 种 方法 使 得 系统 
在 必要 的 时 候 仍 能 恢复 用 户 私 钥 。 在 该 方案 中 ,不 低 于 门限 数量 的 PKG 就 可 以 恢复 用 户 私 
钥 ,当然 这 必须 在 一 定 的 监督 下 进行 ,并 通过 审计 日 志 的 形式 保证 日 后 可 以 追踪 。 然 而 ,文献 
[61] 和 [62] 的 方案 完全 避免 了 密 钥 托 管 的 可 能 ,即使 是 “善意 ”的 密 钥 托 管 也 很 难 实现 。 

5. 用 户 私 钥 保 存 

该 方案 中 ,用 户 必 须 妥善 保存 Skm.c ,防止 攻击 者 获取 。 这 里 提供 两 种 保存 方法 。 

(1) 在 用 户 申 请 私 钥 时 先 选择 一 个 容易 记忆 的 口令 password, 并 使 用 安全 的 Hash K 
数 HON SHA-1 等 ) 计 算 r== 理 (password)。 这 样 ,用 户 不 需要 在 设备 中 存储 Home key 
Skm,u ,而 只 需 在 每 次 计算 临时 私 钥 时 ,通过 输入 口令 临时 计算 Skwm,u 一 HC(password)。 Pry, 
并 用 之 计算 临时 私 钥 Tk, ,之 后 安全 地 删除 内 存 中 的 Skm.c。 这 样 ,Skm.c 不 必 在 任何 设备 


中 存储 ,攻击 者 即使 窃取 了 用 户 的 解密 设备 ,也 只 能 获得 当前 时 间 段 的 临时 私 钥 。 

(2) 使 用 防 寅 扰 的 硬件 设备 生成 随机 数 r 并 保存 。 当 用 户 申请 私 钥 时 ,该 设备 输出 
R=rP 并 保存 Skiv,u 二 rPrw 在 设备 中 。 密 钥 更 新 时 ,该 设备 通过 接口 输入 密 钥 更 新 信息 
Kun 计 算 后 输出 临时 私 钥 Tkm,,。 通 过 使 用 口令 或 生物 特征 保护 ,可 以 保证 只 有 合法 用 
户 才能 使 用 该 设备 。 这 样 ,攻击 者 即使 窃取 了 用 户 的 解密 设备 ,也 无 法 获得 或 使 用 Sk. 

使 用 这 两 种 方法 , 均 可 保证 Home key Skw.u 的 安全 性 。 当 然 ,在 计算 临时 私 钥 时 ,应 使 
用 以 下 计算 方法 以 防止 攻击 者 根据 临时 私 钥 和 密 钥 更 新 信息 计算 出 Skm,u o 

(OD 计算 H.=H.(). 

(2) 选择 随机 数 v € RZ) ,计算 X' —vHu 和 YY 一 vP, 并 立即 删除 v。 

(3) 计算 Xi, — Sk, o - X-- X Y, —Y +Y ,用 户 临时 私 钥 为 Tkw,, =<Xm, Ym >. 

使 用 这 种 方法 ,用 户 在 临时 私 钥 中 增加 了 一 个 随机 因子 ,攻击 者 在 不 知道 v 的 情况 下 不 
能 从 Xrm, 分 离 出 X“ ,因此 也 就 不 能 获得 用 户 的 Home key Skm,u 。 这 也 是 应 用 IDKIE 方案 
的 一 个 安全 性 技巧 。 


6. 私 钥 更 换 

ID-PKI 中, 如果 用 户 因为 私 钥 泄 露 而 请 求 撤销 密 钥 , 则 应 允许 用 户 在 撤销 原 有 私 钥 后 
更 换 一 个 新 的 私 钥 , 并 且 使 用 新 的 私 钥 在 以 后 的 时 间 段 正常 地 解密 /签名 ,同时 保持 公 钥 即 
身份 信息 不 变 。 

该 方案 中 ,可 以 按照 以 下 步骤 更 换 用 户 私 钥 。 

CD 用 户 重 新 产生 一 个 随机 数 r EZ; (通过 更 换 口令 或 使 用 密码 设备 随机 产生 ) ,并 
计算 Ski; —r P pw All RK=Skp,v —Skm.v o 

(2) 在 向 RA 请 求 撤销 时 ,用 户 经 由 RA 将 RK 转发 给 SEM. 

(3) 用 户 更 换 其 Home key 为 Ski; ,SEM 更 换 其 Home key 为 Skp,s =Skm,s 一 RK。 

(4) 在 以 后 的 时 间 里 ,SEM 使 用 Skm.s 为 用 户 颁 发 密 钥 更 新 信息 ,用 户 使 用 Skis HE 
临时 私 钥 。 

首先 , 易 知 更 换 后 的 Home key Skm.u 和 Skw.s 仍 是 有 效 的 ,因为 等 式 Sk,u 十 Skin.s 一 
cm 仍然 成 立 ; 其 次 ,只 要 攻击 者 不 能 获得 RK 的 值 ,新 的 密 钥 更 新 信息 对 其 就 没有 任何 意 
义 ,即使 攻击 者 掌握 了 用 户 旧 的 部 分 私 钥 , 也 不 能 用 其 获得 新 的 临时 私 钥 。 


7. 无 人 看 管 的 密 钥 更 新 

该 方案 的 密 钥 更 新 过 程 由 于 需要 使 用 用 户 的 Home key Skm.v ,因此 需要 用 户 的 亲自 参 
与 (如 输入 口令 或 插入 密码 设备 ) 。 但 在 实际 环境 中 ,用 户 很 难 时 时 守候 在 设备 前 看 管 密 钥 
更 新 。 例 如 , 当 用 户外 出 或 休息 时 ,希望 办 公 室 的 计算 机 可 以 照常 接收 并 解密 邮件 ,这 样 ,就 
需要 计算 机 能 够 在 无 人 看 管 的 情况 下 自动 进行 密 钥 更 新 ,获得 最 近 时 间 段 的 临时 私 钥 。 但 
同时 ,又 要 保证 用 户 Home key Skm.v 的 安全 性 。 

该 方案 可 以 提供 这 样 一 个 无 人 看 管 的 密 钥 更 新 功能 。 用 户 在 需要 外 出 时 ,可 以 事先 选 
择 一 个 随机 数 r€ Z; ,并 计算 Xtemp— Ski; rH, G) ,Ytemp 一 ”P, 其 中 上 是 下 个 时 间 段 的 
字符 串 表 示 , 用 户 将 (Xtemp,Ytemp) 存 储 在 计算 机 中 , 当 需 要 密 钥 更 新 时 ,计算 机 可 以 按 下 
面 的 步骤 自动 检验 密 钥 更 新 信息 的 合法 性 ,并 生成 临时 私 钥 。 

CD 收 到 密 钥 更 新 信息 Kup, — — X. Y> REENA SH eC(Xtemp- XP) — 
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&QQy > Pra) * êH, CO ,了 十 Ytemp) 成 立 。 

(2) 如 果 该 等 式 成 立 , 则 计算 临时 私 钥 Tk, =<Xtemp+X,Ytemp+Y>. 

(3) 否则 , 密 钥 更 新 信息 不 合法 ,报告 错误 。 

容易 验证 ,如 果 密 钥 更 新 信息 合法 , 则 上 述 过 程 可 以 计算 出 正确 的 临时 私 钥 Thin. E 
时 基于 7 的 随机 性 和 CDH 问题 的 难 解 性 ,(Xtemp,Ytemp) 只 能 用 于 检验 并 产生 第 t 时 间 
段 的 临时 私 钥 ,不 会 危害 Skm,o 和 其 他 时 间 段 临时 私 钥 的 安全 。 


8. 密码 算法 和 安全 性 

该 方案 中 用 户 可 以 使 用 15. 2 节 给 出 的 IDKIE 方 案 和 IDKIS 方案 进行 加 解密 和 签名 运 
算 , 系 统 公开 参数 也 与 15. 2 节 给 出 的 完全 相同 。 

通过 使 用 上 述 的 用 户 私 钥 保 存 方法 可 以 保证 Skm.u 的 安全 性 。 在 此 基础 上 ,根据 文 
献 [33] 对 IDKIE 和 IDKIS 方案 的 安全 性 分 析 , 可 以 确信 攻击 者 窃取 用 户 密码 设备 只 能 获得 
当时 的 临时 私 钥 ,而 仅 截 获 密 钥 更 新 信息 不 能 获得 任何 时 间 段 的 私 钥 。SEM 虽然 掌握 用 户 
的 部 分 私 钥 , 但 不 能 获得 任何 时 间 段 的 解密 /签名 能 力 。 鉴 于 此 ,SEM 向 用 户 发 送 密 钥 更 新 
信息 时 ,完全 可 以 以 明文 形式 传送 。 同 时 ,文献 [33] 中 也 指出 , 密 钥 更 新 信息 自身 可 以 保证 
“足够 ”的 完整 性 保护 ,攻击 者 即使 自 改 密 钥 更 新 信息 ,也 只 能 以 “无 害 ” 的 方式 算 改 ,否则 用 
户 可 以 检测 出 来 。 


9. 性 能 分 析 与 比较 

令 m RAG, 群 上 的 乘法 ,在 该 方案 的 私 钥 申 请 过 程 中 ,用 户 需要 计算 2m, 每 个 PKG 
需要 计算 Im, SEM 需 计 算 tm(t 为 门限 值 ) 。 密 钥 更 新 及 加 密 、 签 名 时 各 方 的 计算 量 和 通信 
量 在 15. 2 节 已 经 分 析 过 ,这 里 不 再 袭 述 。 

除了 提供 完整 的 密 钥 安 全 分 发 、 密 钥 撤销 和 密 钥 托管 解决 方案 外 ,该 方案 还 有 以 下 几 个 
特点 。 

(1) 用 户 的 部 分 私 钥 由 用 户 自己 生成 ,在 任何 时 候 都 不 在 网 络 上 传送 。 

(2) 除非 用 户 密 钥 被 撤销 ,否则 在 整个 生命 周期 内 ,只 需要 一 次 认证 身份 和 安全 分 发 过 
程 (用 户 注册 时 ) 。 

(3) 用 户 在 获得 密 钥 更 新 后 ,可 以 完全 自主 地 解密 、 签 名 ,不 需要 外 界 帮助 。 

(4) 如 果 采 用 口令 方式 保存 部 分 私 钥 ,用户 部 分 私 钥 不 需要 在 计算 机 设备 中 存储 ,由 此 
可 以 增强 系统 安全 性 。 

(5) PKG 只 与 RA,SEM 交互 ,不 直接 面向 用 户 , 而 且 在 所 有 用 户 都 注册 后 ,PKG 可 以 离线 。 

(6) 虽然 采用 多 个 PKG 避免 密 钥 托管 问题 ,PKG 的 个 数 和 部 署 对 用 户 是 透明 的 。 

从 提供 的 密 钥 管理 功能 来 看 ,该 方案 同 现 有 的 其 他 主要 方案 的 对 比 参 见 表 15.1. 


表 15.1 功能 对 比 
BF 方案 LQ 方案 Lee 方 案 | OLM 方案 Sui 方案 ID-PKI 方 案 
密 钥 分 发 x x v Vv v v 
密 钥 撤销 v Vv x Vv x v 
密 钥 托管 v x o o J| Ni 
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下 面 从 性 能 方面 同 现 有 的 几 个 主要 方案 进行 一 一 对 比分 析 。 

首先 同 BF 方案 相 比 ,ID-PKI 方 案 不 必 为 了 提高 密 钥 撤销 粒度 ,缩短 用 户 私 钥 有 效 
期 ,而 且 除 非 需要 撤销 密 钥 ,否则 在 整个 密 钥 生命 周期 内 用 户 只 需要 认证 一 次 身份 , 且 不 
需要 保密 发 送 密 钥 更 新 信息 。 而 BF 方案 中 ,为 了 提高 密 钥 撤销 粒度 , 密 钥 有 效 期 必须 比 
较 短 ,而且 每 次 颁发 私 钥 都 需要 认证 用 户 身份 ,并 秘密 发 送 私 钥 。 另 外 ,由 于 需要 频繁 颁 
发 私 钥 ,BF 方案 中 PKG 必须 总 是 在 线 ,而 ID-PKI 方 案 中 ,PKG 在 完成 用 户 初始 注册 后 
即 可 离线 ,而 且 PKG 不 需要 直接 面 对 用 户 ,因此 ID-PKI 方 案 中 的 PKG 更 安全 。 但 
ID-PKI 方 案 运算 量 和 通信 量 比 BF 方案 略 增 。ID-PKI 方 案 中 的 用 户 加密 比 BF 方案 中 多 
一 次 Gi 上 的 乘法 ,解密 比 BF 中 多 一 次 2 运算 , 密 文 长 度 多 |G, | ,|G | 表示 G 群 上 一 个 
点 的 二 进 制 表示 长 度 。 

LQ 方案 可 以 实现 即时 撤销 ,该 方案 则 难以 实现 这 一 点 ,但 该 方案 可 以 通过 缩短 密 钥 更 
新 周期 提高 密 钥 撤销 粒度 (如 1 小 时 ) ,完全 能 够 满足 大 多 数 应 用 环境 的 需要 。ID-PKI 方案 
中 用 户 一 个 时 间 段 只 需要 同 SEM 通信 一 次 ,然后 在 整个 时 间 段 内 都 可 以 离线 解密 /签名 ; 
而 LQ 方案 中 ,用 户 每 次 解密 /签名 都 需要 同 SEM 交互 ,因此 ,不 能 离线 进行 任何 解密 / 签 
名 。 该 方案 中 用 户 加 密 过 程 比 LQ 方案 中 多 一 次 G, 上 的 乘法 ,解密 过 程 的 计算 量 相当 ,但 
因为 不 需要 同 SEM 交互 ,因此 速度 更 快 , 且 节省 通信 量 。LQ 方案 在 进行 概率 签名 时 需 
要 SEM 和 用 户 分 布 产生 随机 数 ,难度 较 大 ,而 ID-PKI 方 案 中 用 户 自己 产生 签名 ,不 必 考 
虑 分 布 产生 随机 数 的 问题 。 另 外 ,LQ 方案 中 ,用 户 在 解密 出 错时 ,很 难 判 断 是 密 文 的 错 
误 还 是 SEM 中 间 结 果 的 错误 ,而 ID-PKI 方 案 中 用 户 可 以 检查 SEM 密 钥 更 新 信息 的 合 
法 性 。 

OLM 方案 继承 了 Lee 方案 中 的 密 钥 托管 解决 办 法 ,下 面 将 其 一 起 比较 。 首 先 OLM Jp 
RAM Lee 方案 都 没有 完全 解决 密 钥 托管 问题 ,因为 PKG 完全 可 以 假冒 用 户 向 KPA 获取 用 
户 的 其 他 部 分 私 钥 。 其 次 ,这 两 个 方案 中 ,系统 的 主 密 钥 相当 于 PKG 和 所 有 KPA 的 部 分 
主 密 钥 的 乘积 ,需要 PKG 和 所 有 KPA 串 行 计 算 用 户 私 钥 , 耗 时 较 多 。 另 外 ,由 于 没有 宛 
余 , 任 何 一 个 部 件 损 坏 都 会 导致 系统 崩溃 。OLM 方案 的 撤销 机 制 与 LQ 方案 中 相同 ,与 该 
方案 的 性 能 比较 不 再 装 述 。 

Sui 方案 的 密 钥 分 发 方案 与 ID-PKI 方案 较为 类 似 ,但 Sui 方案 中 用 户 必须 知道 所 有 
KGC 的 数量 和 位 置 ,而 且 需 向 所 有 KGC 都 索取 私 钥 信 息 ,而 ID-PKI 方 案 中 PKG 对 用 户 
而 言 是 透明 的 ,并且 用 户 不 需要 同 PKG 联系 。 另 外 ,Sui 方案 中 没有 考虑 密 钥 撤销 问题 ,如 
果 使 用 BF 撤销 方案 的 话 , 用 户 每 个 时 间 段 都 需要 调用 一 次 Sui 方案 向 RA 注册 口令 并 从 多 
个 KGC 秘密 传送 私 钥 , 因 此 效率 太 低 ;而 ID-PKI 方案 用 户 只 需要 初始 注册 时 向 RA 验证 
身份 并 注册 参数 ,以 后 的 时 间 段 从 SEM 接收 密 钥 更 新 信息 即 可 。 与 ID-PKI 方 案 相 比 ,Sui 
方案 的 优势 在 于 可 以 使 用 现 有 的 许多 ID-PKC 方案 如 Boneh-Franklin IBE 等 ,而 ID-PKI 方 
案 则 不 能 直接 使 用 。 


15.3.3 可 抵抗 主动 攻击 者 的 ID-PKI 密 钥 管理 方案 


15. 3. 2 小 节 介 绍 的 方案 的 安全 性 基于 攻击 者 不 能 获得 用 户 部 分 私 钥 Skm.u 。 在 此 前 提 
下 , 密 钥 更 新 信息 可 以 在 网 络 中 以 明文 形式 传送 。 但 攻击 者 一 旦 获得 了 Skm.u ,就 可 以 通过 
窃听 密 钥 更 新 信息 获得 同 合法 用 户 一 样 的 解密 /签名 能 力 。 而 且 用 户 很 难 在 短 时 间 内 发 现 


第 15 章 基于 身份 的 PRIMM ag 


这 种 攻击 行为 。 

为 了 避免 攻击 者 获得 Skis ,在 15. 3. 2 小 节 提 供 了 两 种 用 户 部 分 私 钥 保存 方法 ,一 种 
使 用 口令 方式 保存 , 另 一 种 使 用 防 帘 扰 密码 设备 保存 。 但 在 一 些 应 用 环境 中 ,这 两 种 方法 是 
不 够 的 ,或 者 是 不 适用 的 。 如 用 户 可 能 使 用 了 弱 口 令 , 被 攻击 者 猜测 到 ,或 者 用 户 终端 没有 
条 件 使 用 防 帘 扰 设备 。 因 此 ,在 有 些 场合 下 不 能 排除 攻击 者 获得 用 户 部 分 私 钥 的 可 能 。 在 
这 种 情况 下 仅 使 用 TLS/SSL 或 者 其 他 密 钥 协 商 协 议 保护 密 钥 更 新 信息 是 不 够 的 ,因为 主 
动 攻 击 者 侵入 用 户 设备 并 获取 了 用 户 所 有 私 钥 后 ,可 以 假冒 用 户 向 SEM 请 求 密 钥 更 新 。 
15.2. 3 小 节 给 出 了 一 个 抵抗 此 类 主动 攻击 者 的 AR-IDKIE 方案 。 本 小 节 基 于 AR-IDKIE 
方案 给 出 了 一 种 可 以 抵抗 主动 攻击 者 的 ID-PKI 密 钥 管理 方案 。 

该 方案 允许 攻击 者 侵入 用 户 设备 并 获得 用 户 所 有 私 钥 信息 ,并 允许 其 假冒 用 户 向 SEM 
索取 密 钥 更 新 信息 (但 假设 其 在 一 定时 间 内 只 能 索取 有 限 次 密 钥 更 新 信息 )。 在 这 种 情况 
下 ,掌握 了 用 户 当前 所 有 私 钥 信 息 的 攻击 者 ,如 果 假 冒 用 户 向 SEM 请 求 密 钥 更 新 , 则 会 被 
用 户 在 之 后 请 求 密 钥 更 新 时 发 现 ;如 果 被 动 监 听 密 钥 更 新 消息 , 则 无 法 获得 任何 时 间 段 的 临 
时 私 钥 ,而 且 其 掌握 的 部 分 私 钥 也 不 再 有 任何 意义 。 


1. 系统 结构 

ID-PKI 密 钥 管 理 方案 的 系统 结构 与 15. 3. 2 小 节 是 相同 的 ,都 包含 RA、SEM 和 多 个 
PKG ,如 图 15.2 所 示 。 假 设 用 户 的 部 分 私 钥 存放 在 终端 设备 的 物理 存储 介质 上 (如 硬盘 )， 
攻击 者 可 能 通过 短暂 侵入 用 户 设备 获得 其 中 存放 的 所 有 用 户 私 钥 信 息 。 攻 击 者 还 能 够 控制 
用 户 同 外 界 的 所 有 网 络 连 接 ,获得 其 中 传输 的 所 有 消息 ,并 能 够 自 改 .扣留 、 发 送 消息 。 但 假 
设 攻击 者 不 能 控制 用 户 同 RA 的 离线 认证 与 通信 ,而 且 , 用 户 在 发 现 私 钥 被 攻击 者 窃取 后 ， 
会 立即 报警 ,并 采取 补救 措施 挽回 损失 。 

该 方案 的 密 钥 分 发 过 程 与 15. 3. 2 小 节 中 的 基本 相同 ,但 在 用 户 向 RA 认证 身份 并 注册 
身份 信息 和 尺 后 ,PKG 为 用 户 额外 生成 一 个 用 于 在 密 钥 更 新 阶段 认证 身份 的 认证 私 钥 
AKm ,并 通过 RA 转发 给 用 户 。 为 了 避免 认证 私 钥 被 用 作 其 他 用 途 , 可 以 在 其 公 钥 信息 上 
附加 密 钥 用 法 ,如 “Alice || For key update authentication only”, JA RA 向 用 户 发 送 认证 私 
钥 的 过 程 是 在 用 户 离线 向 RA 注册 时 进行 的 ,总 假设 这 个 离线 过 程 是 安全 的 。SEM 同样 有 
一 个 用 于 密 钥 更 新 的 认证 私 钥 , 记 为 AKsew 。 使 用 AKm 和 AKs ,用 户 与 SEM 可 以 安全 地 
进行 前 摄 密 钥 更 新 ,更 新 过 程 在 前 面 已 给 出 。 用 户 按 照 前 面 的 AR-IDKIE 方案 加 、 解 密 消 
息 。 该 方案 的 密 钥 撤销 和 密 钥 托管 解决 方案 同 15. 3. 2 小 节 中 完全 相同 ,这 里 不 再 重复 。 


2, 安全 性 分 析 

该 方案 的 安全 性 除了 基于 AR-IDKIE 方案 安全 性 之 外 ,还 基于 PKG, RA 和 SEM 3 个 
系统 部 件 自身 的 安全 性 。AR-IDKIE 方案 的 安全 性 已 在 文献 [33] 中 讨论 过 ,这 里 主要 讨论 
该 方案 对 3 个 系统 部 件 安全 性 的 依赖 。 

首先 ,PKG 作为 整体 而 言 必须 绝对 可 信 ,然而 就 局 部 而 言 , 少 于 门限 值 的 PKG 背叛 并 
不 能 损害 系统 的 安全 性 。 采 用 门限 密码 技术 降低 了 系统 对 单个 PKG 安全 性 的 依赖 。 

其 次 ,RA 在 整个 系统 中 负责 验证 用 户 身份 ,而 且 可 以 获得 所 有 用 户 的 认证 私 钥 ,因此 
RA 必须 是 可 信 的 。 然 而 ,RA 即使 是 恶意 的 ,也 不 能 获得 用 户 生成 的 部 分 私 钥 信息 ;虽然 
RA 可 以 主动 蔡 换 用 户 注册 的 尺 值 以 获得 用 户 部 分 私 钥 , 但 用 户 在 第 一 次 请 求 密 钥 更 新 时 


dso 
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就 会 发 现 RA 的 这 种 攻击 行为 。 

最 后 ,SEM 作为 控制 整个 系统 用 户 密 钥 撤销 状态 的 系统 部 件 ,必须 是 安全 可 信和 的 ,这 与 
所 有 密 钥 撤销 方案 都 是 类 似 的 。 另 外 ,对 AR-IDKIE 方案 而 言 ,攻击 者 如 果 获 得 了 SEM 的 
认证 私 钥 以 及 其 中 存储 的 用 户 部 分 私 钥 , 就 可 以 向 用 户 假冒 SEM, 然 后 再 伺机 侵入 用 户 设 
备 获 得 用 户 另 一 部 分 私 钥 , 而 且 在 这 之 间 用 户 和 SEM 都 很 难 发 现 该 攻击 者 存在 。 但 攻击 
者 仅 获 得 SEM 中 的 部 分 私 钥 ,而 不 会 获得 任何 时 间 段 的 解密 /签名 能 力 。 


3. 性 能 分 析 

该 方案 中 加 、 解 密 效率 和 密 文 长 度 同 15. 3. 2 小 节 的 方案 是 完全 相同 的 , 密 钥 更 新 的 效 
率 取决 于 所 使 用 的 AKC 方案 的 效率 ,如 果 使 用 文献 [25] 中 的 ID-AKC 协议 , 则 密 钥 更 新 效 
率 分 析 参 见 前 面 章节 。 

该 方案 在 具备 15. 3. 2 小 节 密 钥 管 理 方案 的 所 有 功能 的 同时 ,还 可 以 使 用 户 能 够 及 时 发 
现 部 分 私 钥 被 窃取 ,或 者 摆脱 攻击 者 对 部 分 私 钥 的 控制 。 需 要 指出 的 是 ,在 攻击 者 能 够 获得 
用 户 所 有 私 钥 信息 ,并 能 主动 发 起 攻击 的 情况 下 ,是 不 可 能 阻止 攻击 者 假冒 用 户 获取 密 钥 更 
新 信息 的 ,因此 ,对 此 种 攻击 者 最 优 的 防护 效果 就 是 能 够 在 短 时 间 内 发 现 其 存在 ,并 采取 措 
施 清 除 攻击 者 。 该 方案 中 用 户 可 以 在 一 个 密 钥 更 新 周期 内 发 现 主动 攻击 者 ,或 者 清除 其 对 
用 户 部 分 私 钥 的 控制 。 

同 现 有 其 他 密 钥 管 理 方案 相 比 ,该 方案 除了 具有 15. 3. 2 小 节 密 钥 管理 方案 已 有 的 优势 
外 ,还 能 够 抵抗 主动 攻击 者 的 攻击 。 而 现 有 的 密 钥 管理 方案 都 没有 考虑 主动 攻击 者 的 问题 。 
比如 在 LQ 方案 中 ,攻击 者 如 果 可 以 获得 用 户 方 的 部 分 私 钥 , 就 可 以 假冒 用 户 向 SEM 请 求 
帮助 解密 或 签名 ,在 合法 用 户 没 有 发 现 该 攻击 者 存在 并 撤销 密 钥 之 前 ,SEM 总 会 响应 攻击 
者 的 要 求 。 然 而 ,通常 情况 下 ,只 有 造成 重大 损失 后 ,用 户 才 会 发 现 自己 私 钥 被 窃取 。 在 BF 
方案 中 ,用 户 和 PKG 必须 有 一 个 安全 信道 传送 用 户 私 钥 。 如 果 采 用 在 线 传送 方式 ,攻击 者 
在 获得 用 户 认 证 凭证 (如 口令 、 私 钥 ) 后 ,就 可 以 假冒 该 用 户 获 取 以 后 所 有 时 间 段 的 私 钥 , 而 
且 不 容易 被 发 现 。 


15.4 基于 身份 的 多 信任 域 网 格 认证 模型 


除了 密 钥 管理 问题 以 外 ,ID-PKI 系 统 研究 的 另 一 个 重要 问题 是 如 何 将 其 应 用 到 实际 环 
境 中 ,并 充分 发 挥 ID-PKI 的 优势 。 本 节 分 析 了 现 有 网 格 认证 框架 存在 的 问题 ,在 15. 3 节 
构造 的 ID-PKI 密 钥 管理 方案 的 基础 上 ,给 出 了 一 个 基于 身份 的 多 信任 域 网 格 认证 模型 。 
考虑 到 网 格 多 信任 域 的 特点 ,该 模型 提供 了 跨 信任 域 的 双向 实体 认证 。 与 基于 传统 PKI 的 
网 格 认证 框架 相 比 ,该 方案 更 轻 量 、 更 高 效 ;与 现 有 的 基于 身份 网 格 安全 框架 相 比 ,该 方案 更 
好 地 解决 了 密 钥 撤销 ,分 发 和 托管 等 问题 ,因而 更 具 实 用 性 。 


15.4.1 研究 背景 和 相关 研究 进展 


网 格 技术 通过 互联 网 把 分 散 的 计算 资源 整合 成 一 个 虚拟 组 织 ,进而 实现 资源 共享 和 协 
同 工 作 。 虚 拟 组 织 由 多 个 异 构 的 信任 域 组 成 ,每 个 域 都 是 独立 、 自 治 的 。 由 于 网 格 环境 的 复 
杂 性 以 及 网 格 所 涉及 的 巨大 利益 ,安全 成 为 网 格 体系 的 一 个 重要 方面 。 其 中 ,作为 网 格 安全 
的 基础 ,认证 显得 尤为 重要 。 


第 15 章 基于 身份 的 PRIMM 451 


在 网 格 中 ,由 于 计算 资源 和 存储 资源 的 分 散 性 ,用 户 的 每 次 请 求 都 可 能 需要 由 分 散在 若 
干 信任 域 中 的 多 个 服务 器 协同 完成 。 同 时 ,网 格 中 的 资源 请 求 都 是 在 运行 过 程 中 动态 进行 
的 ,具有 不 可 预测 性 。 这 些 特 性 决定 了 网 格 认证 应 满足 以 下 要 求 *”" 。 

(1) 支持 不 同 信 任 域 间 的 双向 实体 认证 。 

(2) 支持 单 点 登录 (Single sign-on). 

(3) 轻 量 、 高 效 。 

现 有 的 许多 网 格 安全 体系 如 GSI, OGSA, Akenti?-7? 4$ , 5 IJ fit PKI 为 基础 构建 认 
证 框架 ,通过 SSL 认证 协议 (SSL Authentication Protocol, SAP) 实 现 双 向 身份 认证 。 这 种 
认证 框架 比 基 于 对 称 密码 的 认证 框架 (如 Kerberos) 有 了 较 大 的 进步 9 ,但 仍 存在 SAP 认 
证 效率 过 低 、.PKI 系统 建设 和 维护 成 本 太 高 等 不 足 。 

造成 SAP 效率 低 的 原因 主要 有 两 个 : 一 是 认证 过 程 中 的 证 书 处 理工 作 过 于 繁重 ,尤其 
是 证 书 状 态 查询 和 证 书 路 径 构 造 ,造成 较 大 的 计算 负担 和 时 间 延 迟 %… ;二 是 认证 过 程 中 
双方 需要 交换 证 书 链 ,造成 较 大 的 通信 开销 。 对 于 资源 申请 非常 频繁 的 网 格 而 言 ,上 述 两 点 
都 使 得 SAP 容易 成 为 系统 的 瓶颈 。PKI 系统 成 本 高 则 是 目前 PKI 应 用 普遍 遇 到 的 问题 。 
基于 证 书 的 PKI 系统 由 于 需要 提供 证 书 查 询 、 证 书 申请 、 证 书 撤销 等 诸多 服务 ,造成 系统 结 
构 过 于 复杂 ,建设 和 维护 成 本 过 高 。 显 然 , 这 种 认证 框架 不 能 满足 “ 轻 量 、 高 效 ” 的 要 求 。 

然而 ,使 用 ID-PKI 却 可 以 比较 容易 地 避免 上 述 问题 。 由 于 不 再 需要 证 书 , 基 于 ID-PKI 
的 应 用 可 以 避免 证 书 处 理 和 证 书 传递 造成 的 开销 ,同时 也 使 PKI 系统 结构 大 大 简化 。 
ID-PKI 的 这 些 优点 ,使 得 在 此 基础 上 构建 的 认证 框架 可 以 比 现 有 的 认证 框架 更 轻 量 ,更 高 
效 ,因而 能 更 大 程度 地 满足 网 格 认证 的 需要 。 

近年 来 随 着 ID-PKC 的 迅速 发 展 , 利 用 ID-PKC 的 优势 解决 网 格 安全 问题 的 思路 逐渐 
引起 关注 ,出 现 了 若干 解决 方案 "~ 全 ,后面 将 对 这 些 方案 简要 介绍 。 但 正如 前 面 所 分 析 的 
那样 ,ID-PKC 虽然 有 较 大 优势 ,但 为 了 在 此 基础 上 构建 真正 实用 的 ID-PKI 系统 和 应 用 , 必 
须 妥善 解决 密 钥 分 发 , 密 钥 撤销 和 密 钥 托管 等 问题 。 然 而 , 现 有 基于 ID-PKC 的 各 种 网 格 安 
全 方案 中 大 都 侧重 于 考虑 如 何 应 用 ID-PKC 解决 具体 应 用 问题 ,对 上 述 的 密 钥 管理 问题 
却 考 虑 不 够 。 

文献 [78] 中 给 出 了 一 种 基于 身份 的 非 交 互 网 格 认 证 框架 。 该 框架 中 ,认证 双方 使 用 文 
献 [10] 中 的 非 交互 密 钥 分 发 方案 建立 一 个 共享 的 会 话 密 钥 。 使 用 这 个 会 话 密 钥 认证 双方 可 
以 实现 相互 认证 ,并 保护 会 话 的 机 密 性 和 完整 性 。 该 方案 假设 网 格 中 所 有 实体 的 私 钥 都 由 
同一 个 PKG 生成 。 然 而 通常 情况 下 ,网 格 系统 包含 多 个 独立 的 自治 域 ,要 求 所 有 自治 域 都 
信任 同一 个 PKG 显然 不 现实 。 该 方案 中 ,认证 双方 建立 的 会 话 密 钥 是 一 个 静态 密 钥 ,如 果 
攻击 者 获得 该 密 钥 ,就 可 以 完全 掌握 双方 的 会 话 内 容 , 并 可 以 假冒 其 中 的 任 一 方 。 因 此 , 文 
献 L[78] 中 的 认证 框架 仍 难以 完全 满足 网 格 认 证 的 要 求 。 

文献 [76] 中 讨论 了 ID-PKC 在 网 格 应 用 中 的 优势 ,并 建议 使 用 ID-PKC/PKI 混杂 模式 
构建 网 格 安全 基础 设施 , 即 每 个 域 都 有 一 个 PKG 为 用 户 颁发 ID-PKC 私 钥 , 在 全 体 域 之 上 
存在 一 个 传统 PKI 的 CA. 为 各 域 的 PKG 颁发 证 书 。 同 一 个 域内 的 用 户 可 以 直接 使 用 
ID-PKC 方案 进行 认证 和 安全 通信 ,不 同 域 的 用 户 则 需 使 用 传统 PKI 的 方法 先 验证 对 方 
PKG 的 证 书 ,再 实现 认证 。 文 献 [77] 中 又 对 这 种 ID-PKC/PKI 混杂 模式 做 了 改进 ,在 这 个 
改进 方案 中 每 个 用 户 都 相当 于 ID-PKC 中 的 一 个 PKG,CA 为 每 个 用 户 颁发 证 书 ,证书 中 包 


含 该 用 户 的 公开 参数 ,用 户 通过 颁发 临时 私 钥 的 方式 实现 权限 委托 (Right Delegation) 和 单 
点 登录 。 文 献 L[76] 和 [77] 给 出 的 这 两 个 方案 都 需要 传统 PKI 的 支持 ,虽然 在 一 定 程度 上 体 
现 了 ID-PKC 的 优势 ,但 仍 不 能 完全 摆脱 传统 PKI 的 弊端 。 文 献 L[74] 中 也 讨论 了 使 用 
ID-PKC 改善 GSI"" 的 性 能 和 可 扩展 性 。 

文献 [75] 中 使 用 HIBC(Hierarchical Identity-Based Cryptography) 方 案 构 造 了 一 个 网 
格 安全 框架 (以 下 简称 LP 方案 ) ,在 这 个 框架 中 ,PKG 使 用 HIBC 密 钥 生成 方法 为 用 户 生成 
一 层 私 钥 作 为 长 期 私 钥 ,用 户 使 用 该 私 钥 自 行 生成 两 层 临 时 私 钥 , 并 使 用 这 个 私 钥 实现 权限 
委托 和 单 点 登录 。 该 方案 使 用 HIBC 改造 SSL 握手 协议 实现 双向 实体 认证 。 该 方案 完全 
建立 在 ID-PKC 基础 之 上 ,不 再 需要 传统 PKI 支持 。 但 该 方案 在 使 用 HIBC 的 同时 ,也 不 可 
避免 地 继承 了 HIBC 的 问题 ,如 实现 密 钥 撤销 困难 ,而 且 如 果 采 用 BF 方案 中 的 密 钥 撤销 方 
法 ,就 又 带 来 了 频繁 分 发 用 户 私 钥 的 安全 和 效率 问题 。 


15.4.2 基于 身份 的 密 钥 隔 离 SAP 协议 


SAP 专 指 TLS/SSL 协议 中 用 于 协商 密 钥 的 握手 协议 。TLS/SSL 协议 被 设计 为 传输 
层 的 子 层 ,为 应 用 层 协 议 ( 如 HTTP 等 ) 提 供 安全 连接 服务 。 在 GSIU 等 网 格 安 全 体系 中 广 
E TLS/SSL 协议 实现 双向 认证 ,但 这 种 认证 并 不 仅 局 限于 传输 层 ,因此 文献 L70] 将 其 
用 于 认证 的 握手 协议 单独 抽取 出 来 , 称 之 为 SAP(SSL Authentication Protocol) 协 议 。 

SAP 协议 基于 传统 PKI, 双 方 通过 交换 公 钥 证 书 并 使 用 公 钥 加 密 /签名 算法 (如 RSA 
算法 ) 认 证 协商 一 个 会 话 密 钥 ,并 实现 双向 的 实体 认证 。SAP 允许 认证 双方 协商 选择 密 钥 
协商 方式 ,加密 算法 及 Hash 函数 等 ,因而 具有 良好 的 适应 能 力 ,得 到 了 广泛 应 用 。 但 正如 
前 面 分 析 的 那样 ,为 了 实现 双向 认证 ,SAP 需要 认证 双方 交换 各 自 的 证 书 链 、 构 造 证 书 路 径 
并 验证 所 有 证 书 状 态 ,给 认证 双方 带 来 较 大 的 计算 负担 和 通信 和 负担 。 正 因为 如 此 ,在 实际 实 
现时 ,开发 者 或 使 用 者 往往 干脆 省 略 证 书 状态 验证 等 耗 时 的 操作 ,但 显然 ,这 也 造成 了 许多 
安全 隐患 。 

本 节 利 用 15. 2 节 的 IDKIE 方案 和 IDKIS 方案 对 传统 SAP 协议 进行 改进 ,构造 了 
IDKISAP 协议 ,使 其 摆脱 对 证 书 的 依赖 。 基 本 思想 是 : 用 IDKIE 和 IDKIS 方案 替代 SAP 
协议 中 基于 证 书 的 加 密 和 签名 算法 ,从 而 不 再 需要 与 证 书 相关 的 传递 .验证 等 操作 ,协议 其 
他 部 分 与 SAP 基本 相同 。 具 体 的 消息 流程 如 图 15. 3 所 示 。 

(1) ClientHello 消息 : 该 消息 与 13. 4. 4 小 节 中 的 定义 是 相同 的 ,其 中 包含 了 协议 版 本 
号 .客户 端 支持 的 密码 算法 cipher suites 会话 ID 以 及 客户 端 产生 的 随机 数 Client random, 

(2) ServerHello 消息 : 收 到 ClientHello 消息 后 ,服务 器 产生 与 ClientHello 类 似 的 
ServerHello 消息 ,包含 协议 版 本 号 、 服 务 器 选择 的 密码 算法 、 会 话 ID 以 及 服务 器 产生 的 随 
机 数 Server random 。 

(3) Serverldentifier 消息 : 该 消息 是 可 选 的 ,用 于 向 客户 端 传送 服务 器 的 身份 信息 。 按 
照 15.2 节 的 IDKIE 和 IDKIS 方案 中 的 描述 ,这 里 的 身份 信息 可 表示 为 “ServerName || 
ValidityPeriod” * || ”表示 字符 串 的 合并 ), 即 除了 服务 器 身份 标识 外 ,还 包括 一 个 密 钥 有 效 
期 。 不 过 基于 ID-PKC 的 优势 ,客户 端 可 以 根据 应 用 环境 中 的 特定 规则 猜测 服务 器 的 身份 信 
息 , 这 样 ,只 要 应 用 环境 中 有 明确 的 身份 信息 定义 规则 ,ServerIdentifier 消息 就 不 必 传送 。 比 如 
网 格 环境 中 可 以 规定 使 用 “计算 机 名 @ 域 名 ”的 规则 定义 ServerName, 并 规定 服务 器 密 钥 有 效 
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客户 端 服务 器 


ClientHello 


ServerHello 
Serverldentifier* 
ClientIdentifierRequest* 


ServerHelloDone 


ClientKeyExchange 
IdentifierVerify 
ChangeCipherSpec 
Finished 


ChangeCipherSpec 
Finished 


图 15.3 IDKISAP 消息 流程 示意 图 
可 选 的 消息 或 根据 具体 情况 决定 是 否 要 发 送 的 消息 


* 


期 为 1 年 , 则 一 个 符合 该 规则 的 ServerIdentifier 例子 为 “WebServer@is. iscas. ac. cn || 2009”, 

(4) ClientIdentifierRequest 消息 : 该 消息 也 是 可 选 的 ,服务 器 使 用 该 消息 描述 客户 端 
身份 信息 的 表达 规则 。 只 有 应 用 环境 没有 定义 通用 的 客户 端 身份 信息 表达 规则 ,或 者 服务 
器 有 特殊 要 求 时 才 使 用 该 消息 。 如 服务 器 要 求 客 户 端的 公 钥 信息 除了 包含 身份 和 有 效 期 
外 ,还 要 求 客户 端 在 其 本 域 的 角色 为 管理 员 , 则 该 消息 可 以 表示 为 “clientIdentifier || role= 
Administrator || 2009-12-31”。 收 到 该 消息 后 ,客户 端 按照 该 规则 向 SEM 请 求 密 钥 更 新 信 
息 。 使 用 这 种 方式 ,服务 器 可 以 在 认证 的 同时 实现 一 定 的 访问 控制 功能 。 

(5) ServerHelloDone 消息 : 该 消息 与 13. 4. 4 小节 中 的 定义 是 相同 的 ,标识 ServerHello 消 
息 结 束 。 

(6) ClientKeyExchange 消息 : 客户 端 生成 Premaster secret, 并 使 用 ServerIdentifier 
消息 中 的 服务 器 身份 信息 ,或 根据 规则 “猜测 ”出 的 服务 器 的 身份 信息 加 密 ,加 密 算法 使 用 
15.2 节 的 IDKIE 方案 。 

(7) IdentifierVerify 消息 : 客户 端 使 用 自己 的 私 钥 对 之 前 的 交互 消息 签名 ,签名 算法 使 
JH 15.2 节 的 IDKIS 方案 。 签 名 私 钥 对 应 的 客户 端 身份 信息 应 符合 ClientIdentifierRequest 
消息 或 系统 通用 规则 的 要 求 。 

(8) ChangeCipherSpec 消息 : 该 消息 与 13. 4.4 小 节 中 的 定义 是 相同 的 ,用 于 通知 对 方 
开始 使 用 协商 的 密码 算法 和 密 钥 。 

(9) Finished 消息 : 该 消息 与 13.4.4 小 节 中 的 定义 是 相同 的 ,用 于 向 对 方 确认 密 钥 协 
商 和 认证 成 功 完成 。Master secret 和 会 话 密 钥 按照 SSL 协议 中 的 方法 生成 。 


15.4.3 基于 身份 的 多 信任 域 网 格 认证 模型 


l. 系统 结构 
在 该 模型 中 ,网 格 包含 多 个 独立 自治 的 信任 域 ,网 格 中 的 用 户 和 资源 分 散在 这 些 信 任 域 


k 


中 。 每 个 信任 域 都 有 自己 的 PKG 为 本 域 的 实体 颁发 私 钥 。 按 照 15. 3 节 中 的 ID-PKI 密 钥 
管理 方案 ,每 个 信任 域 除了 PKG 外 ,还 包含 RA、SEM 等 配套 系统 部 件 。 用 户 和 资源 服务 
器 间 的 相互 认证 是 网 格 计算 中 最 典型 的 认证 活动 ,为 此 ,这 里 以 跨 信任 域 间 的 用 户 -服务 器 


认证 为 例 研 究 跨 信 任 域 的 实体 认证 ,其 他 情况 与 之 类 似 。 该 模型 的 系统 结构 如 图 15. 4 
所 示 。 
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图 15.4 基于 身份 的 多 信任 域 网 格 认证 模型 


为 了 实现 单 点 登录 ,引入 文献 [70] 中 用 户 代理 和 资源 代理 的 概念 。 

A) 用 户 代理 (User Proxy, UP) ,是 用 户 端的 一 个 会 话 管理 进程 ,可 以 在 一 段 时 间 内 代 
表 用 户 进行 操作 。 

(2) 资源 代理 (Resource Proxy,RP), 是 处 于 资源 服务 器 端的 一 个 代理 部 件 , 负 责 在 域 
间 的 安全 操作 和 域内 的 安全 机 制 之 间 提供 转换 。 

用 户 代理 作为 客户 端 进程 在 用 户 计算 机 上 运行 ,代表 用 户 向 资源 服务 器 认证 身份 ;资源 
代理 作为 一 个 服务 器 端 进程 ,或 作为 一 个 系统 部 件 ,管理 本 地 资源 ,处 理 用 户 访问 请 求 。 资 
源 代理 除了 认证 功能 外 ,往往 还 承担 部 分 访问 控制 功能 ,与 访问 控制 决策 机 构 (ADF) 交 互 ， 
执行 访问 控制 策略 。 

用 户 在 加 入 网 格 时 ,按照 15. 3 节 密 钥 管 理 方案 中 的 步 又 生成 部 分 私 钥 并 向 RA 注册 私 
fa ,RA 将 用 户 身份 和 用 户 注 册 的 私 钥 信 息 交 给 PKG, 各 PKG 使 用 自己 的 主 密 钥 分 片 
分 别 计算 中 间 结 果 并 交 给 SEM.SEM 最 终 计算 出 用 户 另 一 部 分 私 铀 。 此 后 , 当 用 户 使 用 网 
格 服务 时 , 先 向 SEM 请 求 密 钥 更 新 ,然后 使 用 自己 的 部 分 私 钥 计算 出 下 一 个 时 间 段 的 临时 
私 钥 ,并 将 临时 私 钥 交 给 UP, 由 UP 代表 用 户 向 各 RP 认证 身份 并 获取 资源 。 

2. 双向 实体 认证 

该 模型 中 ,会话 双方 使 用 前 面 给 出 的 IDKISAP 协议 实现 双向 认证 ,并 认证 协商 一 个 会 
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话 密 钥 ,之 后 ,双方 使 用 会 话 密 钥 保证 通信 的 完整 性 和 机 密 性 。 

该 方案 的 一 个 前 提 假 设 是 ,网 格 中 所 有 用 户 、 服 务 器 都 掌握 各 信任 域 PKG 的 公开 参 
数 ,并 且 以 不 被 自 改 的 形式 保存 。 对 于 一 个 网 格 系 统 而 言 ,信任 域 的 数量 是 有 限 的 ,而 每 个 
信任 域 的 公开 参数 只 占 很 小 的 存储 空间 ( 约 1KB) ,因此 ,就 目前 PC 和 服务 器 的 存储 能 力 而 
言 ,这 个 假设 是 可 行 的 。 

可 以 进一步 说 明 其 可 行 性 的 是 ,目前 的 网 格 安全 体系 大 都 基于 PKI 实现 。 在 这 种 安全 
体系 中 ,每 个 结 点 (用 户 或 服务 器 ) 都 需要 存储 大 量 的 用 户 证 书 和 服务 器 证 书 , 而 每 个 采用 
ASN.1 DER 格式 编码 的 X. 509 证 书 ( 使 用 模 长 为 1024b 的 RSA 密 钥 ) 通 常 需要 约 1KB 的 
存储 空间 。 因 此 , 相 比 之 下 ,基于 ID-PKI 的 网 格 认 证 模型 可 以 更 节省 用 户 的 存储 空间 。 


3. 单 点 登录 

单 点 登录 是 指 用 户 使 用 网 格 时 ,只 需要 在 初始 时 认证 一 次 自己 的 身份 ,在 此 后 的 网 格 计 
算 过 程 中 都 不 再 需要 亲自 参与 身份 认证 5" 。 单 点 登录 可 以 把 用 户 从 网 格 计算 中 解放 出 来 ， 
使 得 网 格 运行 不 需要 用 户 一 直 看 管 ,因此 对 网 格 意义 重大 。 实 现 单 点 登录 的 关键 在 于 授予 
用 户 代理 一 个 临时 性 的 用 户 身份 凭证 ,使 其 能 代表 用 户 进行 后 续 的 认证 ;同时 又 能 限制 用 户 
代理 的 能 力 , 使 之 不 会 被 滥用 。 

使 用 ID-PKI 系统 和 IDKISAP 协议 ,可 以 很 容易 地 实现 用 户 单 点 登录 。 假 设 用 户 按照 
15. 3 节 介 绍 的 口令 方式 或 者 防 帘 扰 密码 设备 方式 保存 部 分 私 钥 Skm.u 。 当 需要 使 用 网 格 服 
务 时 ,用 户 可 以 先 向 SEM. 索取 下 一 个 时 间 段 密 钥 更 新 信息 ,然后 通过 输入 口令 或 者 插入 密 
码 设备 (如 IC 卡 ) 使 用 部 分 私 钥 Skw.u 计 算出 临时 私 钥 Tkm.,, 并 将 Tkm., 交 给 用 户 代理 UP, 
之 后 ,UP 可 以 使 用 Tkwm,, 在 接 下 来 的 时 间 段 内 代表 用 户 向 各 个 资源 代理 认证 身份 ,而 不 需 
要 用 户 参与 。 但 UP 的 这 种 能 力 仅 限 于 一 个 时 间 段 内 ,该 时 间 段 过 后 ,除非 用 户 再 授予 其 新 
的 临时 私 钥 , 和 否则 UP 不 能 再 代表 用 户 进行 任何 认证 。 这 样 , 既 实现 了 不 需 用 户 看 管 的 实体 
认证 ,又 限制 了 UP 的 能 力 ,降低 了 密 钥 失窃 的 风险 。 另 外 ,使 用 15. 3 节 的 无 人 看 管 的 密 钥 
更 新 方法 ,用 户 可 以 一 次 性 地 授予 UP 多 个 时 间 段 的 代理 权限 ,从 而 能 够 动态 地 控制 UP 的 
能 力 。 

值得 注意 的 是 ,在 响应 密 钥 更 新 请 求 时 ,SEM 不 需要 验证 用 户 身份 ,因为 在 不 掌握 用 户 
部 分 私 钥 Skm,u 的 情况 下 , 密 钥 更 新 信息 对 攻击 者 毫 无 意义 ,而 基于 RA 的 安全 性 和 15. 3 节 用 
户 私 钥 保 存 方式 的 安全 性 ,只 有 合法 用 户 才能 掌握 该 部 分 私 钥 。 这 样 ,请 求 密 钥 更 新 的 工作 
完全 可 以 由 UP 自动 完成 ,而 用 户 只 需要 在 开始 使 用 网 格 服务 时 运行 UP 程序 并 输入 一 次 
口令 或 插入 密码 设备 ,此 后 就 可 以 完全 不 再 看 管 ,直到 网 格 服务 完成 。 

在 资源 服务 器 端 ,情况 是 类 似 的 。 但 由 于 资源 代理 需要 不 间断 地 提供 服务 ,而 且 通 常情 
况 下 服务 器 端的 安全 保护 强度 较 高 ,所 以 资源 代理 的 私 钥 的 有 效 期 可 以 较 长 ,以 避免 频繁 更 
新 私 钥 带 来 的 额外 负担 。 


4, 密 钥 更 新 与 角色 管理 

该 模型 除了 可 以 实现 网 格 认证 服务 外 ,还 可 以 在 一 定 程度 上 支持 授权 和 访问 控制 的 实 
现 。 由 于 网 格 用 户 和 资源 数量 众多 ,使 用 基于 角色 的 访问 控制 (RBAC)5 实现 网 格 授 权 管 
理 可 以 比 直 接 使 用 用 户 - 权 限 关 联 的 访问 控制 模型 大 大 降低 授权 管理 的 复杂 性 ,而 且 更 能 满 
FE PH SAS HE AY BER 。 
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但 以 何 种 形式 表达 用 户 的 角色 属性 是 网 格 安全 研究 需要 考虑 的 一 个 重要 问题 。 传 统 网 
格 安全 框架 通常 使 用 属性 证 书 表达 用 户 的 角色 信息 "” ,并 通过 属性 权威 (AA) 签 名 保证 其 
真实 性 。 然 而 在 基于 ID-PKI 的 网 格 安全 模型 中 显然 不 适宜 使 用 属性 证 书 ,而 且 由 于 使 用 
属性 证 书 需要 资源 代理 验证 属性 证 书 的 合法 性 ,从 而 也 导致 了 资源 代理 工作 量 的 增加 。 另 
外 ,在 实际 应 用 中 ,负责 身份 管理 的 系统 部 件 ( 如 传统 PKI 中 的 CA) 同 负责 属性 管理 的 系统 
部 件 ( 如 AA) 往 往 是 分 离 的 ,而 且 用 户 身份 的 变化 与 其 角色 的 变化 通常 不 同步 ,因此 ,在 申 
请 私 钥 时 直接 在 公 钥 信息 中 嵌入 用 户 角 色 是 不 合适 的 ,因为 一 旦 用 户 角 色 变化 ,用 户 就 需要 
重新 申请 私 钥 。 

该 模型 中 ,使 用 密 钥 更 新 信息 可 以 容易 地 表达 用 户 的 角色 信息 ,而 且 不 增加 资源 代理 的 
工作 量 。 为 了 实现 这 一 功能 ,SEM 除了 管理 用 户 的 密 钥 撤销 状态 ,还 通过 维护 一 个 用 户 - 角 
色 映 射 表 来 管理 用 户 的 角色 信息 。 用 户 向 SEM 请 求 密 钥 更 新 信息 时 ,可 以 在 请 求 信息 中 
包含 角色 Rolen SEM 根据 用 户 身 份 信息 ID 和 角色 Role 检索 用 户 -角色 映射 表 , 如 果 该 
映射 表 中 存在 (ID,Role。) 这 一 项 , 则 SEM 使 用 该 用 户 的 部 分 信息 Skm.s 计 算 密 钥 更 新 信息 
Kup, = (Skips £H, G, Role) , zP) FER £ ERZ; . JH fl Hx 4r 385 91 S po fei i RE 
临时 私 钥 Tko. ,并 交 给 UP 用 于 在 下 一 个 时 间 段 代表 自己 认证 身份 ,此 时 用 户 的 公 钥 包含 
三 部 分 内 容 : 用 户 身份 有 效 期 和 用 户 的 角色 信息 。UP 使 用 IDKISAP 协议 同 RP 完成 认 
证 后 ,RP 就 可 以 确信 该 用 户 的 确 具有 所 宣称 的 身份 和 角色 。 这 样 , 使 用 IDKISAP 协议 ,RP 
在 认证 了 用 户 身份 的 同时 也 确认 了 用 户 的 角色 属性 ,而 且 认 证 双方 都 不 增加 任何 计算 量 和 
通信 重 。 

5. 密 钥 撤 销 

由 于 用 户 仅 掌握 部 分 私 钥 , 没 有 SEM 的 帮助 ,用 户 不 能 产生 任何 新 时 间 段 的 临时 私 
钥 ,也 就 不 能 再 使 用 网 格 服务 。 如 果 密 钥 撤 销 是 由 用 户 私 钥 泄 露 造成 , 则 用 户 可 以 使 用 
15.3 节 的 方法 更 换 部 分 私 钥 ,之 后 ,用 户 可 以 继续 使 用 网 格 服务 ,而 攻击 者 即使 掌握 了 用 户 
旧 的 部 分 私 钥 ,也 不 能 假冒 用 户 身份 使 用 网 格 服务 。 


15.4.4 性 能 分 析 与 比较 


本 小 节 主 要 分 析 利 用 15. 4. 3 小 节 提 出 的 模型 进行 跨 域 双 向 认证 时 的 效率 问题 ,并 将 之 
5j SAP 比较 。 对 于 SAP 而 言 ,其 认证 效率 受 证 书 链 长 度 的 影响 。 显 然 , 证 书 链 越 短 ,认证 
的 效率 越 高 。 对 于 不 同 信任 域 的 双向 认证 ,证 书 链 最 短 的 情况 即 双方 证 书 链 各 包含 3 个 证 
书 : CA, 证 书 、 用 户 证 书 、 用 户 代 理 证 书 以 及 CA, 证书、 资源 服务 器 证 书 、 资 源 代 理 证 书 , 其 
中 CA 和 CA, 交叉 认证 。 下 面 就 以 这 种 情况 下 的 SAP 与 IDKISAP 进行 比较 。 

首先 考虑 IDKISAP 协议 的 通信 量 , 其 中 ClientHello 消息 和 ServerHello 消息 的 结构 同 
SAP 中 的 定义 完全 相同 ,每 个 消息 约 75B. Serverldentifier 消息 和 ClientIdentifierRequest 消息 
为 可 选 消息 ,用 于 表达 Server 和 Client 的 身份 信息 ,每 个 消息 约 为 100B。ServerHelloDone 消 
息 所 消耗 通信 量 可 以 忽略 。ClientKeyExchange 消息 和 ClientIdentifierVerify 消息 的 长 度 分 
别 由 IDKIE 密 文 长 度 和 IDKIS 签名 长 度 决定 ,而 ClientKeyExchange 消息 长 度 约 为 140B， 
ClientIdentifier Verify 消息 长 度 约 为 60B。 另 外 ,ChangeCipherSpec 消息 和 Finished 消息 
长 度 分 别 为 1B 和 12B。 总 之 ,使 用 IDKISAP 协议 完成 一 次 双向 认证 共 需 消耗 通信 量 约 


580B, 当 不 使 用 Serverldentifier 消息 和 ClientIdentifierRequest 消息 时 ,通信 量 降 为 380B。 

接 下 来 分 析 SAP 协议 的 通信 量 , 首 先 假设 CA 证 书 和 用 户 证 书 都 使 用 模 长 1024b 的 
RSA 公 钥 ,证书 以 ASN. 1 DER 格式 编码 , 则 每 个 证 书 大 小 约 1KB。 为 了 实现 双向 认证 ， 
Client 和 Server 需要 相互 传递 各 自 的 证 书 链 ,每 个 证 书 链 包含 3 个 证 书 , 这 样 
ServerCertificate 消息 和 ClientCertificate 消息 各 需 约 3KB. ClientKeyExchange 消息 使 用 
1024b RSA 公 钥 加 密 Premaster secret,Client CertificateVerify 消息 使 用 1024b 为 RSA 签 
名 ,各 需 至 少 128B。 这 样 ,使 用 SAP 协议 完成 一 次 双向 认证 共 需 约 6500B。 

在 IDKISAP 协议 中 ,主要 计算 量 包 括 客户 端的 IDKIE 加 密 运 算 和 IDKIS 签名 运算 ， 
以 及 服务 器 端的 IDKIE 解密 运算 和 IDKIS 签名 验证 运算 。 用 p 表示 pairing 运算 ,m 表示 
G, 上 的 乘法 ,e 表示 G。 上 的 客运 算 , 则 客户 端的 运算 量 为 4m 十 1p 十 le, 服 务 器 端 运算 量 为 
6pt+le. 

SAP 协议 中 , Client 端的 主要 计算 量 包括 Client 端 对 Server 证 书 链 的 验证 、 对 
Premaster secret 的 RSA 加 密 运算 和 一 次 RSA 签名 运算 ,其 中 对 证 书 链 的 验证 包括 至 少 3 
次 签名 验证 运算 ,这 样 Client 端 主要 计算 量 包括 4 次 RSA 加 密 运算 (明文 消息 长 度 小 于 模 
长 时 ,RSA 加 密 速度 与 签名 验证 运算 速度 基本 相当 ) 和 一 次 RSA 签名 运算 。Server 端的 主 
要 计算 量 包括 对 Client 证 书 链 的 验证 、 对 Premaster secret 的 解密 运算 (明文 消息 长 度 小 于 
模 长 时 ,RSA 解密 速度 与 签名 运算 速度 相当 ) 和 一 次 RSA 签名 验证 运算 ,共计 4 次 RSA 加 
密 运 算 和 一 次 RSA 签名 运算 。 

IDKISAP 协议 和 SAP 协议 效率 的 对 比 参见 表 15. 2。 


表 15.2 IDKISAP 与 SAP 效率 对 比 


通信 量 (B) i $5 om 


IDKISAP 客户 端 4m+1ptle 
服务 器 6p-le 
SAP 客户 端 4 次 RSA 加 密 运 算 和 一 次 RSA 签名 运算 


服务 器 4 次 RSA 加 密 运 算 和 一 次 RSA 签名 运算 


从 表 15.2 可 以 看 出 ,IDKISAP H SAP 可 以 节省 大 量 的 通信 量 , 只 占 SAP 通信 和 量 约 
6%。 仅 就 计算 量 而 言 ,IDKISAP 似乎 比 SAP 需要 更 多 的 计算 时 间 , 因 为 根据 文献 [82] 的 
结果 , 当 使 用 1G PII CPU 的 计算 机 运算 时 ,IDKISAP 协议 中 Client 需 耗 时 5lms, 服 务 器 
需 耗 时 59ms; 而 SAP 协议 中 客户 端 和 服务 器 均 需 耗 时 20ms。 然 而 ,在 上 述 分 析 中 ,没有 考 
虑 证 书 状 态 查 询 给 SAP 协议 带 来 的 时 间 延 迟 , 这 是 因为 采用 不 同 的 证 书 状 态 查 询 方式 和 不 
同 的 证 书 链 长 度 都 会 影响 该 值 , 但 不 论 使 用 OCSP 协议 在 线 查询 还 是 通过 下 载 CRL 检查 ， 
在 最 优 的 情况 下 ,客户 端 和 服务 器 也 至 少 各 需要 一 轮 网 络 交互 。 由 于 网 格 系统 中 往往 包含 
许多 信任 域 ,而 且 认 证 活动 具有 动态 性 ,因此 很 难 通过 预先 下 载 CRL 的 方式 降低 实时 交互 
次 数 。 因 此 在 实际 应 用 时 ,IDKISAP 协议 与 SAP 协议 的 耗 时 是 基本 相当 的 ,甚至 更 低 。 

同 LP FRU 比较: LP 方 案 同 该 方案 非常 类 似 , 均 通过 改造 SAP 协议 实现 双向 认证 ， 
而 且 效 率 基 本 相当 。 但 LP 方案 基于 HIDC 方案 ,而 该 方案 基于 15. 2 节 的 IDKIE 方案 和 
IDKIS 方案 。LP 方案 中 没有 详细 讨论 对 用 户 长 期 私 钥 的 撤销 方法 。 但 如 果 采 用 BF 撤销 
方案 中 , 即 通过 在 用 户 公 钥 信息 中 增加 有 效 期 的 方法 实现 自动 撤销 ,为 了 实现 细 粒 度 的 密 钥 
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撤销 必然 要 缩短 用 户 密 钥 的 有 效 期 ,从 而 导致 用 户 需 要 频繁 向 PKG 申请 私 钥 ,而 且 LP 77 
案 中 建议 使 用 离线 方法 分 发 用 户 私 钥 , 这 样 会 极 大 地 增加 用 户 负担 。 而 该 方案 使 用 的 密 铀 
撤销 方法 可 以 容易 地 实现 密 钥 撤 销 , 而 且 在 用 户 密 钥 整个 生命 周期 内 ,只 需要 一 次 安全 分 发 
过 程 。 另 外 ,该 方案 可 以 通过 密 钥 更 新 信息 的 形式 灵活 地 表达 用 户 的 角色 信息 ,而 LP 方案 
中 则 不 易 做 到 这 一 点 。 

Ii] Mao 方案 "中 比较 : Mao 方案 由 于 不 需要 通信 双方 交互 就 可 实现 认证 ,因此 具有 较 高 
的 效率 。 但 该 方案 只 能 在 单一 信任 域 环境 中 应 用 ,而 且 该 方案 中 生成 的 是 静态 会 话 密 钥 , 攻 
击 者 一 旦 获得 该 密 钥 就 可 以 完全 控制 双方 通信 。 该 方案 可 以 实现 跨 信 任 域 的 认证 ,而 且 认 
证 双方 每 次 会 话 都 可 以 重新 协商 会 话 密 钥 ,攻击 者 即使 获得 某 次 会 话 的 会 话 密 钥 ,也 只 能 获 
得 当 次 会 话 内 容 。 


15.5 小 结 


由 于 其 独特 性 质 ,ID-PKI 在 很 多 方面 比 传统 的 基于 证 书 的 PKI 更 具 优势 ,其 应 用 前 景 
被 广泛 看 好 。 然 而 就 目前 而 言 ,ID-PKI 技术 还 远 未 成 熟 , 仍 存在 许多 问题 蝇 待 解决 。 信 息 
安全 国家 重点 实验 室 PKI 项 目 组 针对 ID-PKI 中 的 一 些 核心 问题 进行 了 深入 系统 研 
FEO) ,并 研制 了 一 套 ID-PKI 原型 系统 ,部 分 工作 已 在 文献 [33] 中 做 了 较为 详细 的 总 结 。 
本 章 主要 介绍 了 我 们 自己 的 一 些 工作 ,对 其 他 一 些 有 代表 性 的 工作 也 做 了 一 些 综述 和 对 比 
介绍 , 感 兴趣 的 读者 可 从 文中 介绍 的 线索 参阅 相关 文献 。 路 晓 明博 士 也 参加 了 本 章 写作 , 作 
者 在 此 表示 惠 心 的 感谢 。 
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计算 机 安全 问题 由 来 已 久 , 早 期 因 计 算 资 源 昂贵 ,强调 效率 优先 原则 ,所 以 安全 问题 考 
虑 得 比较 少 ,尤其 在 体系 结构 上 ,没有 建立 相应 的 安全 支撑 机 制 。 随 着 计算 机 应 用 尤其 是 网 
络 应 用 的 普及 ,安全 问题 也 越 来 越 突 出 。 导 致 这 种 局 面 的 根本 原因 在 于 : 本 地 /网 络 应 用 程 
序 代码 无 法 保障 代码 自身 的 可 信人 性 ,传统 的 各 种 基于 软件 的 安全 防御 技术 屡屡 被 攻击 者 攻 
陷 。 正 是 在 这 种 背景 下 ,可 信 计 算 平台 技术 应 运 而 生 , 目 前 已 成 为 计算 机 安全 技术 最 主要 的 
发 展 趋势 之 一 ,其 基本 思想 是 在 计算 平台 上 引入 一 个 硬件 信任 根 ,通过 这 个 硬件 信任 根 构 建 
主机 的 可 信和 执行 环境 。 
国际 可 信 计 算 组 织 (TCG) 制 定 了 可 信 计 算 平台 、 可 信 存 储 和 可 信和 网 络 的 一 系列 工业 标 
准 ,其 方法 是 在 主机 平台 、 移 动 平台 和 嵌入 式 平台 上 嵌入 专用 的 安全 芯片 TPM(Trusted 
Platform Module) 呈 ,以 此 为 硬件 信任 根 解决 可 信 计 算 平 台 信任 的 建立 和 证 明 问 题 。 在 国 
家 有 关 主 管 部 门 和 中 国 可 信 计 算 工作 组 (TCMU) 的 积极 推动 下 ,我 国 也 制定 了 具有 自主 知 
识 产 权 的 TCM(Trust Cryptographic Module) 相关 标准 中 ,国内 IT 厂商 相继 研制 出 支持 
TCM 标准 的 安全 芯片 及 相关 软 、 硬 件 产品 ,并 积极 推动 示范 应 用 。 

远程 证 明 是 可 信 计 算 平 台 提供 的 一 大 特色 和 核心 功能 ,是 目前 可 信 计 算 领 域 最 为 热门 
的 研究 方向 之 一 。TCG 的 两 个 版 本 中 提出 了 两 种 远程 证 明 方案 : 基于 可 信 第 三 方 Privacy- 
CA 的 证 明 方案 和 直接 匿名 证 明 (DAA) 方 案 , 它 们 确立 了 远程 证 明 的 基本 原则 。 针 对 这 两 
个 方案 的 不 足 , 人 们 展开 了 许多 有 益 的 探索 并 取得 了 多 项 研究 成 果 。 

远程 证 明 包含 两 层 含义 : 一 是 TPM/TCM 身份 的 证 明 ,也 称 之 为 平台 身份 的 证 明 , 因 
为 TPM/TCM 可 以 唯一 标识 一 个 平台 的 身份 ,TPM/TCM 身份 证 明 就 是 要 提供 一 个 只 有 
TPM/TCM 才 知 道 的 证 据 ,通过 TPM/TCM 的 身份 密 钥 AIK 对 内 部 数据 进行 签名 实现 ; 
二 是 平台 证 明 , 它 是 提供 证 据 证 明 一 个 平台 完整 性 值 集合 的 证 明 过 程 ,这 是 通过 用 TPM/ 
TCM 中 的 AIK 对 一 个 平台 配置 寄存 器 (PCR) 集 合 进行 数字 签名 来 实现 的 。 

本 章 结 合 国际 上 的 一 些 现 有 成 果 , 重 点 介绍 我 们 在 可 信 计 算 平 台 远程 证 明 方面 的 研究 
成 果 。 


16.1 多 远程 证 明 实例 动态 更 新 证 明 方 案 


TCG 框架 下 的 远程 证 明 方 案 得 到 了 国内 、 外 众多 学 者 \ 研 究 机 构 的 广泛 关注 ,众多 的 研 
究 成 果 中 较为 典型 的 有 IBM 研究 院 提出 的 完整 性 度量 框架 IMA 。 这 些 远 程 证 明 方案 
中 ,有 的 是 基于 软件 的 ,有 的 是 基于 语义 的 ,有 的 是 基于 属性 的 。 基 于 属性 的 远程 证 明 方案 
具有 明显 的 发 展 优势 , 它 可 以 更 好 地 解决 远程 证 明 的 隐私 泄露 和 滥用 证 明 结果 等 问题 ,并 可 
降低 证 明 的 复杂 性 。IBM 研究 院 在 文献 [6] 中 引入 可 信 第 三 方 转换 属性 ,提出 了 基于 属性 
的 远程 证 明 框架 ,随后 在 文献 [7] 中 给 出 了 基于 属性 的 远程 证 明 方案 的 软 、 硬 件 实现 方法 , 文 
献 [8] 中 提出 了 基于 属性 的 远程 证 明 协 议 ( 简 称 PBA 协议 ), 文 献 L9] 中 在 可 信 引 导 器 
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TrustedGrub 的 基础 上 ,对 基于 属性 的 远程 证 明 方 法 、 属 性 验证 和 撤销 等 实现 技术 进行 了 研 
究 , 这 些 研究 不 断 地 推动 了 基于 属性 的 远程 证 明 方 案 的 发 展 。 这 些 工作 改进 了 TCG 远程 
证 明 方案 的 各 方面 不 足 之 处 ,扩展 了 远程 证 明 方 法 ,但 对 于 远程 证 明 的 动态 性 和 并 发 性 研究 
很 少 。 文献 [10] 讨 论 了 计算 环境 配置 改变 和 封装 数据 不 可 用 的 问题 ,提出 了 基于 属性 封装 
的 解决 方法 ,实际 上 远程 证 明 也 存在 同样 的 问题 。 当 系统 软 、 硬 件 配置 和 状态 发 生 改 变 时 ， 
原 有 的 远程 证 明 将 无 效 ,必须 再 次 动态 地 进行 更 新 证 明 ,这 就 涉及 远程 证 明 的 动态 性 。 可 信 
计算 平台 远程 信任 建立 实际 应 用 过 程 中 ,系统 中 可 能 存在 着 多 个 远程 证 明 会 话 实例 (Multi- 
RAI,Multiple Remote Attestation Instance) ,这 就 要 求 Multi-RAI 能 够 并 发 证 明 不 同 的 
RAI 关 联运 行 环境 的 可 信 性 。 与 单个 远程 证 明 应 用 相 比 , 又 存在 许多 新 的 复杂 问题 。 

解决 现 有 网 络 安全 最 常用 的 安全 协议 有 SSL/TLS 协议 和 IPSec 协议 ,SSL/TLS 协议 
和 IPSec 协议 认证 终端 用 户 身份 ,保证 网 络 通信 数据 的 机 密 性 和 完整 性 ,而 远程 证 明 保证 终 
端 运行 环境 的 可 信 性 ,将 这 二 者 结合 可 以 极 大 地 增强 网 络 应 用 的 安全 性 ,TCG 的 体系 结构 
互 操作 规范 20 和 TNC 规范 09 都 涉及 相关 问题 的 讨论 。 文 献 [13] 中 提出 了 使 用 远程 证 明 
扩展 SSL 协议 的 方案 ,通信 终端 通过 协商 安全 参数 和 在 SSL 协议 上 证 明 平 台 配置 ,以 此 达 
到 建立 远程 可 信 通 道 的 目标 。TCG 工作 组 也 正 着 力 于 建立 TLS 协议 上 的 远程 证 明 扩 展 规 
3577, Multi-RAI 安全 连接 的 讨论 也 是 建立 在 TLS 协议 扩展 的 远程 证 明基 础 之 上 。 

系统 环境 复杂 多 变 , 需 要 采用 多 种 安全 机 制 来 保护 和 标识 软件 运行 环境 ,虚拟 技术 "9 
提供 的 强 隔 离 机 制 为 保护 和 维护 计算 环境 的 完整 性 提供 了 良好 的 基础 。 无 论 是 以 Xen 
为 代表 的 虚拟 技术 、 微 内 核 技术 507 、Intel 的 LT 技术 中 ,还 是 Microsoft 的 NGSCB 技 
AU ,都 是 在 可 信和 虚拟 机 监控 器 上 将 系统 划分 为 不 同安 全 级 的 计算 隔 间 (Compartment)， 
严格 限制 Compartment 之 间 的 信息 流 , 以 达到 控制 和 维护 计算 环境 安全 性 的 目的 。Multi- 
RAI 证 明 的 可 信 计 算 环境 是 以 Compartment 为 基本 单元 ,证 明 Compartment 中 组 件 构 建 
的 运行 环境 是 否 可 信 。 

系统 打 补 丁 、 应 用 程序 的 升级 ,乃至 恶意 程序 的 自 改 等 致使 可 信 计 算 平台 的 状态 发 生 改 
变 ,状态 的 改变 导致 必须 进行 状态 更 新 证 明 。Multi-RAI 的 并 发 性 和 平台 状态 的 动态 性 ,都 
极 大 地 增加 了 远程 证 明 的 复杂 度 。TCG 规范 提出 的 远程 证 明 方法 主要 针对 平台 静态 状态 
的 远程 证 明 ,无 法 解决 平台 状态 动态 改变 的 远程 证 明 。Maulti-RAI 证 明 最 直观 的 解决 方法 
便 是 扩展 单个 RAI 证明, 但 这 种 简单 扩展 会 引发 许多 新 问题 ,图 16. 1 归纳 了 单个 RAI 证 明 
扩展 到 Multi-RAI 证明 的 常见 问题 。 

图 16. 1(a) 中 描述 的 是 非 一 致 性 证 明 ,在 第 (4) 步 应 该 证 明 的 RAI A 计算 环境 状态 p. 
可 是 证 明 时 RAI B 改变 Compartment 状态 为 7,RAL A 实际 证 明 的 状态 为 7, 证 明 状 态 不 
一 致 ,这 是 由 于 Multi-RAI 计算 环境 状态 相互 影响 造成 了 证 明 状态 不 一 致 。TCG 规范 采用 
服务 器 发 送 新 鲜 值 Nonce, 防 止 远程 证 明 的 重 放 攻 击 , 但 是 这 种 方法 在 Multi-RAI 的 更 新 证 
明 中 将 不 再 适用 , 除 首 次 证 明 外 ,更 新 证 明 都 是 在 Requester 不 知道 的 情形 下 发 生 , 如 果 通 
知 Requester 发 送 Nonce, Compartment 此 时 可 能 已 经 改变 为 男 一 状态 ,这 将 出 现 如 图 16. 1(a) 
所 示 的 非 一 致 性 证 明 。 如 图 16. 1(b) 所 描述 的 是 RAI 证 明 的 重 放 攻 击 证 明 , 第 (4) 步 RAI_ 
A 计算 环境 状态 已 经 改变 为 y, 而 不 诚实 的 用 户 可 以 重 放 状 态 B ATER]. Multi-RAI 可 信 计 
算 环 境 对 于 远程 证 明 提 出 了 新 的 安全 要 求 。 

(1) 证 明 的 动态 性 。 可 信 计 算 环 境 的 软 、 硬 件 配置 和 状态 动态 发 生 改 变 时 ,人 RAI 必须 动 
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(1) PLATFORM: 可 信 状 态 oc (1) PLATFORM: 可 信 状 态 a 

(2) (i) REQUESTER — RAIL A: Nonce (fi n, (2) (i) REQUESTER — RAI A: Nonce {Ëi n, 
(ii) RAL A — REQUESTER : Attest(o,,) (ii) RAL A — REQUESTER : Attest(@,n,) 

(3) PLATFORM: a 一 B, RAI A 状态 改变 (3) (i) PLATFORM: a@— f, RAILA 改变 状态 

(4) (i) REQUESTER — RAIL A: Nonce fi n (ii) RAL A — REQUESTER; UpdateAttest( B) 
(ii) PLATFORM: B 一 xX RAL_B 状态 改变 (4) (i) PLATFORM: B= y, RALA 改 变 状态 
(iii) RAILA — REQUESTER : Attest(y,n,) (ii) RAILA — REQUESTER: UpdateAttest( 5) 

(a) (b) 
图 16.1 Multi-RAI 证 明 的 常见 问题 
态 地 向 Requester 证 明 更 新 后 的 新 状态 可 信 。 


(2) 证 明 的 一 致 性 。RAI_A 证 明 可 信 计 算 环境 中 与 它 关 联 的 运行 状态 时 ,不 能 由 于 其 
他 RAI 改变 了 可 信 计 算 环 境 的 状态 ,而 导致 RAI_A 错误 的 证 明 改 变 后 的 新 状态 , RAI_A 
的 证 明 必 须 与 RAI A 的 关联 状态 一 致 。 

(3) 证 明 的 并 发 性 。Multi-RAI 环境 下 同时 存在 多 个 并 发 运行 的 向 不 同 Requester 证 
明 计 算 环境 的 可 信 性 的 RAI。 不 能 因为 RAI 证 明 而 锁定 当前 计算 环境 , 亦 即 RAI 证 明 时 ， 
不 允许 平台 状态 更 新 ,不 允许 其 他 RAI 同时 进行 证 明 。 不 管 平台 的 运行 环境 经 过 了 多 少 次 
改变 ,Multi-RAI 还 能 够 并 发 证 明 其 不 同 的 最 新 关联 状态 。 

(4) 防 重 放 攻 击 。RAI 的 关联 状态 与 RAI 证 明 一 一 对 应 ,但 是 当 关 联 状 态 改变 为 不 安 
全 状态 时 ,不 诚实 的 用 户 或 恶意 程序 能 够 重用 原 有 的 证 明 数 据 ,使 Requester 相信 RAI 仍然 
可 信 , 这 就 是 Multi-RAI 的 重 放 攻 击 。 


16.1.1 远程 证 明 模 型 


1. TPM/TCM 基础 

TPM/TCM 是 一 个 安全 芯片 (实质 上 是 一 个 密码 芯片 ) ,可 提供 密码 操作 、 完 整 性 管理 、 
密 钥 管 理 , 安 全 存储 、 远 程 证 明 等 安全 功能 。 这 里 主要 涉及 TPM/TCM 的 完整 性 配置 管理 、 
单调 计数 器 ,TPM/TCM 身份 密 钥 等 功能 。 

TPM/TCM 内 部 包含 一 组 不 可 算 改 的 平台 配置 寄存 器 (PCR),TPM/TCM 度量 可 信 
计算 环境 的 软 、 硬 件 状态 ,将 度量 结果 保存 在 这 些 PCR 中 。PCR 的 主要 操作 包括 扩展 、 重 
置 ,签名 等 , 当 系 统 启动 后 , PCR 不 能 重 置 和 算 改 ,只 能 进行 杂凑 值 的 扩展 ,其 扩展 方法 为 
TPM_Extend(a,8) = H(a || 8) (这 里 以 TPM 为 例 ), 其 中 a 为 PCR 的 旧 值 ,8 为 扩展 值 , 输 
出 PCR 的 新 值 ，TCG 规范 指定 的 Hash 算法 为 SHA1。 令 R— (0,1)? ,将 PCR 扩展 操作 
定义 为 点 积 (*。”) 运 算 , 则 RXR=>R:(a,B) Ha || 8) 一 c。p。 

以 可 信 计 算 平台 的 初始 环境 创建 过 程 为 例 ,主机 平台 的 BIOS 杂凑 运算 的 度量 结果 为 
B. OS Loader 为 4,OS kernel 为 x,OS 加 载 的 内 核 模块 (如 特定 硬件 的 驱动 .内核 服务 模块 
等 ) 度 量 结果 为 x, ,… ,x, ,加 载 的 用 户 空间 的 应 用 程序 为 x,,,，… Xue ,那么 对 整个 信任 链 
进行 的 扩展 操作 是 
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PCR SHOH HHHO || 9 120 lO M 192 122 
—0" Be WY Xu. (16-1) 
TPM/TCM 单调 计数 器 (Monotonic Counter) 值 保存 在 TPM/TCM 内 部 的 非 易 失 
(CNV) 存 储 区 域内 , 且 计数 器 只 能 够 被 增加 。 创 建 一 个 新 计数 器 需要 Owner 的 授权 ,增加 一 
个 计数 器 值 需要 计数 器 相关 授权 口令 ,删除 计数 器 要 么 需要 Owner 授权 ,要 么 需要 计数 器 
相关 的 授权 口令 。 创 建 一 个 新 计数 器 后 ,计数 器 被 赋予 了 一 个 初始 值 ,通常 初始 值 不 从 零 开 
始 。 计 数 器 可 用 来 标识 可 信 计 算 环 境 状态 的 更 新 顺序 和 防止 证 明 数 据 的 重 放 攻击 。 


2. 体系 结构 

组 件 通过 度量 变量 衡量 其 安全 属性 ,我 们 为 组 件 颁发 属性 证 书 , 验 证 组 件 是 否 可 信 ， 
图 16. 2(a) 是 以 组 件 为 证 明 单位 的 体系 结构 ,系统 包含 组 件 生产 厂商 .用 户 ( 简 记 为 UD ,证 
书 发 布 权威 (T)。 组 件 生产 厂商 生产 和 发 布 组 件 , 提 供 组 件 度量 类 别 和 度量 变量 ;证书 发 布 
权威 机 构 评估 组 件 安全 属性 ,发 布 .验证 和 撤销 组 件 属性 证 书 ; 用 户 平台 由 主机 系统 和 
TPM/TCM 安全 模块 组 成 ,组 件 属性 证 明和 可 信 计 算 环 境 的 更 新 证 明 发 生 在 用 户 平台 安全 
通信 过 程 中 。 


证 书 发 布 权威 组 件 组 件 
软件 厂商 dien 
Ac Ab ur f x E 
um = ~ 应 用 程序 层 
A ' RA 实例 EE RA 实例 


发 布 软件 


Wi | ] 


TLS | TPMTCM 

Session || Context || 可 信服 务 屋 

c Manager| Manager 

ai 虚拟 机 监控 层 
Hypervisor 


T || Measurement Component 
Agent | Manager 


远程 证 明 Hardware 可 信和 硬件 层 
> 用 户 系统 构成 
(a) 以 组 件 为 证 明 单位 的 体系 结构 (b) 用 户 平台 的 体系 结构 


图 16.2 可 信 计 算 环 境 证 明 模型 和 体系 结构 


设 械 的 公私 钥 为 (SK+ ,PK+), 经 过 本 评估 认证 的 组 件 安 全 属性 集合 为 P,P 包含 有 长 
度 为 1 的 代表 不 同 组 件 安全 属性 的 字符 串 , 具 体形 式 为 
P = {pis frst p, C (0,107 
组 件 用 三 元 组 (id,X,p) 表 示 ,id 是 组 件 的 身份 标识 ,X 是 组 件 全 部 度量 变量 按照 组 件 度 
量 算法 得 到 的 度量 值 , 嫁 是 组 件 经 过 工 评估 满足 的 安全 属性 ,E P. TAA Gd, x, p) hi 
发 的 属性 证 书 , 记 为 


cert(T,id,X,p) = (id,X,p,Sign(SKr, (id,X,p)) (16-2) 
为 了 便于 组 件 属性 撤销 查询 ,T 周期 性 地 颁发 组 件 属性 撤销 列表 CRL, 同 时 提供 在 线 
证 书 查询 服务 OCSP 等 。 


图 16. 2(b) 是 用 户 平台 的 体系 结构 ,可 信服 务 层 、 虚 拟 机 监控 层 、 可 信和 硬件 层 共同 构成 
了 用 户 可 信 计 算 平台 的 可 信 计 算 基 (TCB),TCB 的 上 面 是 运行 各 个 相互 隔离 的 隔 间 
(Compartment) ,Compartment 可 以 采用 Xen 提供 的 隔离 虚拟 机 ,或 NGSCB 提供 的 保护 分 
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区 ,或 微 内 核 系 统 实现 ,我 们 的 系统 使 用 Xen 可 信 平 台 上 的 虚拟 机 实现 Compartment. 3t 
程 证 明 时 ,首先 证 明 TCB 的 可 信 , 然 后 证 明 Compartment 中 RAI 实例 关联 的 组 件 安全 属 
性 。 可 信服 务 层 提供 了 组 件 证 明 必 需 的 存储 ,会话 、 度 量 管理 等 服务 。 

(1) MA(Measurement Agent) 。 进 行 平 台 组 件 的 完整 性 度量 ,组 件 更 新 时 对 被 更 新 的 
组 件 重新 度量 。 

(2) CM(Component Manager) 。 管 理 系统 中 各 个 组 件 的 安装 注册 、 删 除 务 载 和 更 新 升 
级 等 ,保存 有 注册 组 件 的 组 件 属 性 证 书 。CM 负责 处 理 Compartment 中 组 件 的 更 新 请 求 ， 
如 果 组 件 的 安全 属性 发 生变 化 , 则 触发 MA 对 组 件 重新 度量 ,确保 组 件 满 足 属 性 证 书 中 所 
声明 的 安全 属性 。CM 用 组 件 列表 来 保存 组 件 注 册 信 息 和 组 件 属性 证 书信 息 , 多 个 
Compartment 拥有 相同 的 组 件 ,CM 共享 该 组 件 列表 项 , 若 组 件 发 生 更 新 ,CM 使 用 COW 
(Copy On Write) 机 制 修改 组 件 列表 项 。 

(3) TSMG(TLS Session Manager) 。 管 理 系统 中 全 部 远程 证 明 TLS 会 话 实例 RA, 
个 远程 证 明 实例 RAIE RA 总 是 绑 定 一 个 会 话 关联 组 件 集合 C, 这 些 会 话 关联 组 件 为 叶 节 
点 组 成 一 棵 会 话 组 件 树 。Compartment 中 对 任意 的 cEC, 如 果 组 件 c 发 生 更 新 ,CM 会 检查 
更 新 后 的 组 件 c 的 安全 属性 是 否 发 生 改变 ,如 果 改 变 则 通知 TSMG 进行 更 新 证 明 , 验 证 成 
功 则 重用 原 有 的 SSL 会 话 ,但 使 用 新 的 会 话 密 钥 。 

(4) TCMG(TPM/TCM Context Manager)。TPM/TCM 的 上 下 文 管理 负责 维护 各 个 
Compartment 的 TPM/TCM 操作 环境 ,包括 Compartment 关联 的 密 钥 会话、 数据 ,以 及 各 
个 Compartment 绑 定 的 物理 PCR ,各 个 RAI 关联 的 VPCR(Virtual PCR), Compartment 
每 创建 一 个 RAI 时 ,TCMG 在 相应 的 Compartment 的 上 下 文中 创建 一 个 VPCR 用 来 描述 
RAI 关 联 的 组 件 配置 和 状态 ,VPCR 值 为 组 件 会 话 树 的 根 节 点 扩展 物理 PCR 后 的 值 。 

3. 证 明 流程 概述 

图 16. 3 描述 了 可 信 计 算 环 境 证 明 的 生命 周期 过 程 。 可 信 计 算 平台 每 创建 一 个 
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Compartment 时 ,TCMG 就 为 该 Compartment 创建 一 个 TPM/TCM 上 下 文 (Context) 。 当 
发 起 一 个 新 的 TLS 会 话 时 , TCMG 需要 为 该 会 话 分 配 保存 组 件 配 置 和 状态 的 VPCR， 
TSMG 则 建立 与 该 会 话 安全 相关 的 会 话 组 件 树 ,会 话 组 件 树 的 组 件 用 来 衡量 RAI 会 话 是 否 
满足 某 种 安全 属性 。 当 一 个 RAI 会 话 实例 执行 时 ,将 触发 MA 对 会 话 关联 组 件 进行 度量 ， 
度量 完成 后 TSMG 将 计算 会 话 组 件 树 ,然后 TPM/TCM 对 证 明 数 据 签名 ,最 后 RAI 运行 
扩展 了 远程 证 明 的 TLS 协议 完成 证 明 。 

可 信 计 算 环 境 的 证 明 周期 中 ,Multi-RAI 证 明 主 要 包括 以 下 3 个 步骤 。 

COD 组 件 度量 。 由 MA 执行 的 对 组 件 的 度量 变量 进行 度量 和 评估 的 算法 。MA 度量 的 
组 件 应 在 CM 保存 的 组 件 属性 证 书包 含 的 度量 变量 范围 之 内 ,MA 完成 度量 后 使 用 组 件 度 
量 属性 证 书 验 证 组 件 配置 状态 ,如 果 二 者 不 符 , 则 由 CM 通知 系统 管理 员 组 件 已 经 不 符合 
组 件 属性 证 书 声明 的 安全 属性 。 

(2) 会 话 组 件 树 计算 。RAI 会话 要 求 满足 安全 属性 p CM 将 会 话 安全 属性 映射 为 平台 
组 件 安全 属性 ,如 p Ap. —p NA pas pi 是 组 件 c; 的 安全 属性 。TSMG 为 这 些 与 会 话 
相关 的 组 件 创建 组 件 树 ,被 度量 的 组 件 经 过 验证 后 ,将 用 组 件 度量 值 (或 属性 值 ) 扩 展 计算 会 
话 组 件 树 。 

(3) Multi-RAI 证 明 。 包 括 RAI 证 明和 RAI 更 新 证 明 。 

RAI 证明 是 首次 建立 远程 证 明 网 络 通信 时 必须 进行 计算 环境 可 信 性 的 证 明 。RAI 会 
话 实例 证 明 协 议 建 立 在 TLS(SSL) 协 议 的 基础 上 ,在 证 明 用 户 身 份 、 密 钥 协 商 的 同时 ,证 明 
组 件 安全 属性 和 TPM/TCM 平台 身份 。 

RAI 更 新 证 明 发 生 在 RAI 证 明之 后 ,是 对 可 信 计 算 环境 改变 后 的 状态 进行 证 明 。 无 论 
是 用 户 合法 的 组 件 更 新 ,还 是 恶意 攻击 导致 组 件 配置 和 状态 的 改变 ,都 会 导致 可 信 计 算 环境 
变化 ,此 时 将 无 法 保障 原 有 RAT 会 话 运行 环境 是 否 可 信 , 组 件 更 新 时 CM 将 驱动 MA 重新 
度量 更 新 组 件 ,TSMG 进行 更 新 组 件 证 明 。 


16.1.2 远程 证 明 方案 


16.1. 1 小 节 描述 了 可 信 计 算 环境 证 明 总 体 过 程 ,本 节 将 提供 具体 的 实现 算法 和 协议 ， 
来 保证 通信 双方 的 计算 环境 可 信 。 可 信 计 算 环境 证 明 方 案 =G, M,A, Ay U Uy) JE i — 
系列 概率 Oracle'"" 算 法 构成 。 这 些 算法 运行 在 组 件 度量 、 会 话 组 件 树 计 算 、Multi-RAI 证 
明 等 主要 步骤 中 ,其 中 密 钥 生 成 算法 G 是 由 TPM/TCM 芯片 完成 ,度量 算法 M 是 由 度量 代 
H MA 完成 ,证 明 算法 A 和 更 新 证 明 算 法 U 是 由 证 明 平 台 的 TSMG 和 TCMG 协同 执行 ， 
验证 算法 Ay 和 Uy 是 由 证 明 请 求 者 Requester 执行 。 令 I Æ Compartment 标识 
(Identities) 的 集合 ,A; 是 Compartment i(i€ DAY RAIRA . IC (G.ra) iE I.ra€ Aj), 

(1) G Æ TPM/TCM 密 钥 生 成 算法 ,生成 Multi-RAI 证 明 所 需要 的 平台 身份 密 钥 对 
AIK(TCM 中 记 为 PIK)。 给 定安 全 参数 k, TPM/TCM 计算 出 密 钥 对 (sk, pl) eGA), 
更 为 可 靠 的 方法 是 为 每 个 Compartment 生成 由 AIK 认证 , 带 有 SKAE 3" IU" fije fe uA 
密 钥 (RAK) ,专门 用 于 Multi-RAI 证 明 。 

(2) M 是 组 件 度量 算法 ,输入 组 件 id, MA 就 完成 相应 的 组 件 度量 Mid) :一 {log,X)} 。 

G) A 是 RAI 的 证 明 概 率 算法 , 亦 即 建立 RAI 会 话 时 首次 向 Requester 证 明 的 算法 。 
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算法 执行 时 ,TCMG 生成 证 明 凭证 : s<-AGi.a.D,2), Ga) € I, D Æ RAl[a]fe TPM/TCM 3f 
调 计数 器 为 + 时 的 证 明 状 态 数据 ,D 在 系统 实现 时 包括 组 件 会 话 树 数据 .VPCR 和 度量 日 志 数 
据 。 当 证 明 状 态 数据 更 新 (D>D') ,TCMG 也 使 用 算法 A 生成 更 新 凭证 : AGa, D t). 

(4) U 是 RAI 更 新 证 明 概率 算法 ,给 定 (i,a) ET, 算 法 执行 输出 更 新 证 明证 据 : fU 
(i,a,D;,D,),，D;、D。 分 别 是 单调 计数 器 为 t; 和 tn 时 的 证 明 状 态 数据 ,D, 是 Di 更 新 后 
的 值 。 

(5) Ay 是 RAI 会 话 建立 时 的 证 明 验 证 算法 ,给 定 证 明 凭证 (或 更 新 凭证 )s 二 A(i,a,D,t) 
AIA pk, FR [Fl CVPCR 2) «Av Gi a pk) , VPCR 是 RAI[a] 在 证 明 状 态 数 据 为 D. 
TPM/TCM 单调 计数 器 为 + 时 的 PCR 值 。 若 验证 不 通过 ,输出 “reject”。 

(6) Uy 是 RAI 更 新 证 明 的 概率 验证 算法 ,给 定 更 新 证 明证 据 f =U (i,a,D;,D,) 和 公 
钥 pk, 算 法 返回 { CVPCR; »t;) (VPCR,, 4,2) -Uv Cf isa pk) , VPCR; 是 RAI[a] 在 证 明 状 
态 数 据 为 Di ,单调 计数 器 为 的 PCR 值 ,VPCR, 是 证 明 状 态 数据 Di 一 D, 更 新 后 ,计数 器 
为 如 时 的 PCR 值 。 若 验证 不 通过 ,输出 “reject”。 


1. 组 件 度量 算法 

首先 对 几 个 术语 做 一 些 解 释 。 

CD 组 件 (Component)。 可 信 计 算 系 统 中 可 被 度量 的 硬件 和 软件 模块 。 可 信 计 算 系统 
是 由 硬件 和 各 种 软件 构成 ,并 具有 一 定 功 能 和 属性 的 系统 组 成 实体 。BIOS、BootLoader、 
OS AKA Firefox 浏览 器 等 都 是 一 个 组 件 。 组 件 本 身 可 信 , 再 加 上 组 件 之 间 的 联系 是 可 信 
的 ,就 能 保证 系统 配置 和 运行 状态 是 可 信和 的。 

(2) 度量 类 别 (Measurement Class)。 衡 量 一 个 组 件 是 否 可 信 , 其 方法 有 很 多 ,有 验证 
运行 代码 是 否 签名 、 组 件 运 行 的 程序 是 否 含 有 恶意 特征 码 等 ,而 TPM/TCM 主要 以 
fingerprint 的 方式 记录 组 件 运行 时 的 状态 ,来 判定 组 件 是 否 满足 一 定 的 安全 条 件 。 度 量 组 
件 加 载 到 内 存 中 可 执行 文件 镜像 ,组件 程序 代码 段 (Text Section) 组件 调 用 的 内 核 模块 ` 组 
件 运行 时 动态 链接 库 等 ,用 不 同 的 类 别 来 衡量 组 件 运行 时 的 状态 ,这 些 度量 分 类 定义 为 度量 
类 别 。 

(3) 度量 变量 (Measurement Variable) 。 某 一 个 组 件 度量 类 别 中 ,具体 刻画 组 件 当前 运 
行 状态 的 衡量 点 称 之 为 度量 变量 。 例 如 ,浏览 器 使 用 的 系统 动态 链接 库 类 别 中 , SSL 动态 
链接 库 (/usr/lib/libssl3. so) 就 是 一 个 度量 变量 。 16. 4 是 原型 系统 中 对 于 浏览 器 组 件 
Firefox 的 度量 结果 ,这 里 选择 了 下 列 4 个 度量 类 别 ,对 于 每 个 度量 类 别 , 系 统 的 度量 代理 
MA 使 用 系统 Hook 函数 自动 选取 度量 变量 。 

D 可 执行 文件 镜像 : 程序 运行 时 ,加 载 到 进程 空间 的 可 执行 文件 的 内 存 镜像 。 

© 组 件 动态 链接 库 : 组 件 直接 依赖 的 动态 链接 库 , 随 组 件 一 起 发 布 , 当 组 件 程序 运行 
需要 某 个 链接 库 ,在 它 动态 加 载 时 对 其 进行 度量 。 

@ 系统 动态 链接 库 : 组 件 运行 所 依赖 系统 动态 链接 库 ,组 件 需 要 调用 这 些 动态 链接 
库 ,动态 加 载 进行 度量 。 

© 系统 内 核 模块 : 组 件 运行 所 依赖 的 内 核 模块 ,在 组 件 使 用 时 对 它 进行 度量 。 

除了 这 些 度量 类 别 外 ,还 可 以 从 组 件 配 置 数据 、 组 件 代 码 段 数据 、 组 件 运行 时 关键 数据 
结构 等 度量 类 别 来 描述 组 件 的 可 信 运 行 状态 。 

(4) 组 件 更 新 (Component Update) 。 系 统 用 户 为 组 件 打 补丁 \ 在 线 升级 、 重 新 安装 新 
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图 16.4 度量 变量 和 度量 类 别 实例 
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版 本 软件 等 操作 ,导致 组 件 度量 变量 的 度量 结果 发 生变 化 ,这 个 过 程 称 为 组 件 更 新 。 广 义 地 
讲 , 新 安装 组 件 、 升 级 组 件 、 删 除 组 件 都 可 以 看 作 组 件 更 新 。 普 通 的 组 件 更 新 时 , 原 有 正在 运 
行 的 组 件 将 退出 ,更 新 完毕 后 重新 运行 更 新 后 的 组 件 ,IMA 度量 方法 就 能 对 这 类 更 新 进行 
加 载 时 度量 。 组 件 动态 更 新 ( 热 更 新 ) 则 是 正在 运行 的 组 件 不 退出 ,运行 时 动态 改变 度量 变 
基 的 状态 ,组 件 打 补丁 、 安 装 插件 ,在 线 升级 等 是 常见 的 组 件 动态 更 新 方式 。 

组 件 动态 更 新 时 ,TPM/TCM 已 经 完成 了 组 件 状 态度 量 。 然 而 TPM/TCM 作为 一 个 
防 算 改 硬件 ,不 提供 TPM/TCM 度量 状态 回 滚 (Roll Back) ML til ,无 法 重新 度量 反映 更 新 后 
的 状态 ,目前 TCG 的 安全 框架 也 没有 提出 动态 更 新 的 相应 解决 方法 。 

可 信 计 算 环境 主要 确保 运行 环境 中 硬件 .固件 和 软件 的 真实 性 , 即 组 件 的 真实 性 。 要 度 
量 某 个 组 件 的 完整 性 ,只 需要 以 组 件 id 请 求 MA,MA 对 内 存 中 运行 的 组 件 进 程 、 依 赖 的 内 
核 模 块 和 依赖 的 动态 链接 库 进行 度量 , 即 对 组 件 的 全 体 度量 变量 进行 度量 , MA 度量 输出 组 
件 度量 值 x 和 度量 日 志 log。 

对 于 某 个 标识 为 id 的 组 件 c 而 言 ,在 组 件 发 布 时 就 确定 好 它 的 全 部 度量 变量 , 设 MC— 
{ma ，… ,mck} 是 它 的 度量 变量 集合 。 则 组 件 度量 算法 描述 如 下 。 

算法 Mid). 

输入 MC= {ma,*…,mcr})。 

输出 ”如 果 执 行 成 功 ,返回 Log ,X; 否 则 ,返回 错误 代码 。 

具体 执行 过 程 如 下 。 

(D log:={}。 

(2 MA 查找 组 件 进程 是 否 运行 ,车 没有 运行 , 则 返回 错误 。 

(3) MA 度量 组 件 < 

© x:-—0"; 

© For j=1 to k do 

i. MA 检查 度量 变量 mc; ,计算 度量 值 w: =H Onc). 
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ii. 添加 度量 日 志 ,log: 一 logU{(Cdesc ,w;)) desc; 为 mc; 的 具体 描述 信息 。 

li. 更 新 组 件 度量 值 ,X: 一 X。wi。 

© return Xə 

(4) return log. 

由 组 件 度量 算法 可 以 知道 ,组 件 c 的 度量 结果 为 Xx: 二 0%”。 an tw tot oe ME LR 
算法 简 记 为 MGid) :一 {log,X)}。 


2. 会 话 组 件 树 计算 

一 般 来 说 ,TPM/TCM 芯片 内 部 包含 24 个 不 可 自 改 的 平台 配置 寄存 器 PCR,PCR 只 
能 通过 扩展 操作 更 新 寄存 器 值 。 我 们 的 原型 系统 中 ,新 启动 一 个 Compartment 时 ,TCMG 
从 PCR16 一 23 中 选择 一 个 物理 PCR 与 之 关联 ,用 来 存储 Compartment 的 组 件 度量 结果 。 
当 RAILa] 实 例 进行 远程 证 明 时 ,将 扩展 Compartment 的 物理 PCR, 由 于 多 个 RAI 共享 同 
一 物理 PCR ,好 像 为 每 个 RAI 虚拟 一 个 PCR 一 样 ,因此 称 实例 RAI[a] 扩 展 后 的 PCR 为 该 
RAI 实例 的 VPCR(Virtual PCR), VPCR 值 为 VYPCR[a]。 该 方案 中 最 多 能 够 同时 运行 8 
个 Compartment, 具 体 的 物理 PCR 分 配 见 表 16. 1。 


表 16.1 TPM/TCM 的 物理 PCR SRR 


PCR 索引 PCR 用 法 
0~7 CRTM, BIOS, Motherboard, BootLoader 等 度量 结果 
8 Hypervisor 层 度量 结果 
9 可 信服 务 层 (MA .CM、TSMG 等 ) 度 量 结果 
10~15 系统 运行 时 度量 结果 
16 一 23 Compartment 组 件 度量 结果 


RAI 要 求 平台 满足 一 定 的 安全 属性 , 亦 即 要 求 与 该 会 话 相关 的 组 件 满足 一 定 的 安全 属 
性 。 将 这 些 组 件 构 建成 一 棵 二 叉 杂 凑 树 来 表示 RAI 关联 的 计算 环境 ,这 棵 树 称 之 为 会 话 组 
件 树 。 一 个 新 的 RAI 会 话 发 起 时 ,通信 双方 就 交换 安全 策略 协商 好 要 证 明 的 RAI 组 件 , 然 
后 TSMG 创建 RAI 会 话 组 件 树 ,TCMG 新 建 VPCR 用 来 保存 会 话 证 明 结果 。 当 组 件 配置 
和 状态 发 生变 化 时 ,会 话 组 件 树 能 够 快速 更 新 RAT 组 件 状态 ,实现 更 新 证 明 。 

会 话 组 件 树 是 以 组 件 为 叶 节 点 的 杂凑 树 (Merkle Hash Tree, MHT) ,在 二 又 杂凑 树 中 
(图 16. 5) , 叶 节 点 是 RAI 关 联 的 组 件 ,包含 组 件 的 无 碰撞 杂凑 值 X, 安 全 属性 值 pEP, 叶 节 
点 的 X 值 按照 前 面 的 组 件 度量 算法 M(id) : = (log. X} iF WB). TSMG 根据 组 件 属性 证 书 
Xf log 中 MC 度量 值 进行 验证 ,验证 通过 赋予 组 件 安全 属性 p, 否 则 安全 属性 p 二 0”。RAI 
组 件 对 象 构成 了 树 MHT Gd, idu) , 树 节点 n FER SECOS Kn ]— Or 2 ,节点 的 标 
W [J 递归 定义 为 : iLnj 二 kL[nj, 其 中 [nj 是 节点 vLnj 二 Ch,k[Lnj,hr) 的 键 值 , k[n]— 
Hl || ip). 

h, 和 As 分 别 是 节点 n 的 左 子 女 节 点 和 右 子女 节点 ,节点 的 键 值 是 左 、 右 子 树 节点 值 
连接 的 杂凑 值 , 组 件 树 的 根 节点 RAI 所 有 组 件 对 象 的 无 碰撞 杂凑 值 。 计 算出 组 件 会 话 树 根 
节点 值 , 然 后 扩展 TPM/TCM 相应 的 PCR。 会 话 组 件 树 的 节点 、 树 根 保存 在 TSMG 运行 


饶 Liu is RESTR 


RAI 会 话 组 件 树 。 Root Hash -------------- 上 


VPCR 


TCM 


id,| lia| | ids) | id, e id,| (Ø| [o| |o 


Ot ÊD Ko B3 Ot PD) Xaa) po») 
图 16.5 ”RAI 会话 组 件 树 


空间 中 , 且 只 能 够 被 TSMG 操作 。 如 果 RAI 组 件 个 数 为 m 二 2', 那 么 会 话 组 件 树 是 一 个 高 
度 为 ! 十 1 的 满 二 叉 树 ,车 2 二 m 一 2, 会 话 组 件 树 添加 2' 一 m 个 空 节点 构成 满 二 叉 树 。 

RAI 会话 实例 的 终端 安全 属性 和 配置 状态 用 会 话 组 件 树 描述 ,只 要 系统 中 RAI 组 件 的 
任何 度量 变量 发 生 改 变 ,都 将 会 反映 到 这 棵 会 话 组 件 树 上 来 。TCMG 再 用 根 节点 值 扩 展 相 
应 的 TPM/TCM 的 物理 PCR, 那 么 TPM/TCM 就 能 够 标识 各 个 Compartment 的 多 个 RAI 
会 话 状态 。 会 话 组 件 树 很 好 地 解决 了 会 话 相关 组 件 的 状态 表示 ,并 且 便于 组 件 动态 更 新 状 
态 标识 。 会 话 组 件 树 的 组 件 更 新 仅仅 需要 更 新 组 件 节点 到 Root Hash 路 径 上 全 部 节点 值 ， 
就 能 反映 出 更 新 后 的 状态 。 

以 组 件 为 叶 节 点 的 RAI 会 话 组 件 树 计 算 简 记 为 H(MHT(id ,…,id,)), 这 里 提供 两 
种 会 话 组 件 树 的 计算 方法 ,一 是 使 用 度量 值 x 计算 会 话 组 件 树 , 另 一 种 是 使 用 组 件 属性 值 
PEP 计算 组 件 会 话 树 。 前 者 可 用 于 直接 二 进 制 的 远程 证 明 , 用 应 用 程序 的 二 进 制 杂凑 值 来 
表示 可 信 计 算 环境 ,这 种 方法 简单 易 行 ,但 存在 见 余 证 明和 平台 配置 隐私 泄露 的 缺陷 。 后 者 
直接 基于 属性 进行 远程 证 明 , 证 明 灵 活 易于 扩展 ,但 需要 颁发 属性 证 书 和 验证 属性 是 否 
撤销 。 

root — HCMHT di; s ,id, ))=> 
(HOMHT(, «7X, HCMHT (py 7 5,00) (16-3) 

如 果 会 话 组 件 树 MHT Cid, id, H MT <m AAA BA 2 PE BR 
高 度 为 Ah 二! 十 1, 有 2' 一 m FEARS 构成 满 二 又 树 , 空 节点 的 度量 值 为 $, 定 义 空 节点 的 计 
算 规 则 如 下 。 

A) $*$—$. 

(D$*x-x*$-—x. 

组 件 会 话 树 的 度量 值 和 属性 值 的 计算 方法 为 

H(MHT(idi,* ,id,)) =H(MHT(Y, +" Xn)) 
=H(MHT(, +" 5X, snp) 


" 


2m 


= LII E «9l - 
f OG Xx Porte $25 (16-4) 


其 中 f(xy exe ;2) 为 一 递归 计算 函数 ,其 函数 定义 为 
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V PE c Us atte aea 52571) e flaris srr), £01 
rptime t=1 
(16-5) 
Ha sR (16-3) 55 (016-4) 和 式 (16-5) 可 以 计算 得 到 根 节点 的 度量 值 , 同 样 会 话 组 件 树 根 
节点 属性 值 可 以 由 式 (16-3)、 式 (16-4) 和 式 (16-5) 计 算得 到 : HCMHT (id; , +, id,,)) = 
PCD. sore 2) ,计算 结果 最 终 更 新 相应 的 VPCR,VPCR 一 PCR。root, 组 件 度量 值 
和 属性 值 验证 也 按照 相同 的 方法 进行 。RAI 某 个 组 件 发 生 改变 ,不 用 重新 计算 整个 会 话 组 
件 树 ,只 需要 更 新 该 组 件 节点 到 根 节点 路 径 上 的 节点 值 , 亦 即 更 新 序列 s 所 描述 的 从 节点 
0 三 (hi,k,hr) 到 根 节点 路 径 上 的 全 部 节点 值 。 
s = Gs kshr; ki shi; ko ,hss kho) (16-6) 
除了 使 用 普通 的 杂凑 树 构建 会 话 组 件 树 外 ,可 以 借鉴 虚拟 单调 计数 器 认证 查找 树 55 的 
构造 方法 ,采用 认证 查找 树 (Authenticated Search Tree, AST)? 构建 RAI 会 话 组 件 树 
AST(Gd, ,…,id,)。 以 组 件 ID 为 关键 字 ( 或 称 键 值 ) 建 立 认 证 查找 树 , 认 证 查找 树 的 每 个 节 
点 都 有 唯一 一 个 查找 键 值 k[n] 二 (id,X,p) ,如 果 ni. 是 节点 对 的 左 子 女 节 点 , 则 大 [去 
kin], WR ng 是 节点 n 的 右 子女 节点 , 则 kn] k[ng].. ASTGd; 7 id, MATT n BY 
标识 Un AE LA: En] H Gon D vn] Gi skin) he). Bn RS n 的 左 子女 节点 
不 存在 , 则 太一 nil, 右 子女 节点 也 一 样 。AST(id «id, ES X v= Chis k she) SUR AS 
v, 按照 序列 (16-6) 进 行 扩展 计算 。 令 lo = HOO ,对 于 0 jr A üE SE BET ex RT ET 
以 下 递归 计算 , 即 
Gp kh), k< k; 
l; = Hj). "Tak LO, kk (16-7) 
认证 查找 树 是 以 组 件 ID 为 节点 键 值 构建 ,而 杂凑 二 又 树 是 以 组 件 度量 值 (或 属性 值 ) 为 
叶 节 点 构建 ,两 种 组 件 会 话 树 方式 都 可 以 描述 RAT 会 话 相 关 组 件 的 运行 状态 。RAI 证 明 会 
话 开始 建立 时 ,双方 交换 证 明 策略 ,其 中 包含 了 RAI 要 证 明 的 组 件 ID( 或 安全 属性 ) ,TSMG 
根据 组 件 ID 建立 组 件 会 话 树 ,验证 时 ,Requester 则 通过 证 明 策略 中 的 组 件 ID 构建 组 件 会 
话 树 进 行 组 件 运行 状态 和 属性 的 验证 。 
3. Multi-RAI 证 明 
Compartment 启动 时 , TCMG 就 分 配 一 个 物理 PCR 与 之 关联 ,TCMG 必须 能 够 完成 
Multi-RAI 的 并 行 证 明 ,在 未 使 用 隔离 技术 的 单个 系统 (如 Windows 或 Linux 系统 ), 多 个 
实例 并 发 证 明 的 问题 将 更 为 突出 。Multi-RAI 证明 除了 满足 并 发 性 外 ,还 必须 满足 证 明 的 
一 致 性 和 防 重 放 攻击 。 
RAI 组 件 状 态 最 终 以 组 件 树 的 形式 聚集 为 VPCR 值 , 设 实例 RAILa] 的 组 件 状态 聚集 
到 组 件 树 根 节点 值 为 6,TCMG 扩展 相应 的 物理 PCR, 得 到 RAI[a] 的 VPCR 值 ,VPCR[a] 一 
PCR: 0。 组 件 度量 日 志 、RAI 会 话 组 件 树 、 根 节点 值 0 和 VPCR 值 共同 构成 了 证 明 状态 数 
# D. TCMG 进行 物理 PCR 扩展 后 ,会 相应 地 增加 单调 计数 器 的 值 ,用 于 保证 证 明 状态 的 
一 致 性 和 防止 恶意 攻击 者 和 程序 的 重 放 攻 击 。 
RAI 实例 建立 时 ,TCMG 会 为 RAI 生成 证 明 凭证 ,以 后 每 一 次 RAL 组 件 状态 更 新 ， 
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TCMG 会 生成 相应 的 更 新 赁 证。 证明 凭证 和 更 新 凭证 都 由 TCMG 使 用 算法 AGa, D,t) 
生成 ,凭证 格式 为 : 6, PCR n2. SignGsk. H Cn || t || PCR))], 证 明 赁 证 和 更 新 凭证 的 区 别 
是 在 于 随机 数 n, WEI SEWE n 是 Requester 发 送 的 Nonce, 而 更 新 凭证 为 TPM/TCM 内 部 
生成 的 随机 数 。Compartment 的 多 个 RAI 并 发 的 扩展 同一 物理 PCR, 这 样 就 构成 一 条 与 
单调 计数 器 关联 的 更 新 凭证 链 (图 16.6) ,对 于 RAT Sz ff] 建立 初始 会 话 时 ,只 需要 提供 时 
Al to 时 的 证 明 凭 证 和 它 之 前 to 一 1 的 更 新 凭证 (凭证 RAI ID 天 a) ,就 能 证 明 RAI 实例 运行 
环境 的 可 信 。 
v~ 4 更 新 凭证 证 明 | /一 更 新 凭证 证 明 


i j t-l li i Vel l 


证 明 凭 证 更 新 凭证 更 新 凭证 TARE 更 新 凭证 


4r 
[Cnt =o i4 [cS 其 他 更 新 凭证 


fcner Intr 1 其 他 更 新 凭证 TRACT 


3 
1 | 
= !RALID=a! 1RALID= M (RALID s a) RALI ID-a: | RALI ID=b! AL Des) | AL ID-a | 
i rog s i | CER cd A i | 
组 件 | rt GR H t | 
| VPCRIa] 2 Lech 1 i vec 
Cd dd 
数据 RAl[a] RAI[b] RAl[a] RAI[b] RAl[a] 


图 16.6 Multi-RAI 更 新 证 明证 据 


当 需 要 证 明 c, 时 刻 组 件 更 新 后 的 状态 可 信 ,TSMG 只 需 查 找 最 近 一 次 RAI[o] 和 凭证 
w， 提 供 更 新 凭证 证 据 f= Cu; uj tuu) =U (i,a,D;,D,,)。 验 证 时 Requester 首先 重 构 
时 刻 如 的 证 明 状 态 数据 ,主要 是 根据 证 明 策 略 请 求 的 组 件 ID 建立 会 话 组 件 树 ,验证 根 节点 
On 可 信 , 然 后 验证 更 新 凭证 链 有 效 。 这 种 方法 有 效 地 防止 了 RAI[Laj] 重 放 攻击 ,因为 攻击 者 
重 放 时 刻 的 更 新 证 明 , 攻 击 者 必须 满足 以 下 两 个 条 件 才能 成 功 : 四 伪造 时 刻 ti (ti = tn) 
的 更 新 凭证 ; @ 伪 造 一 条 从 com. 的 更 新 凭证 链 。 这 就 要 求 攻击 者 能 够 破解 无 碰撞 杂凑 函 
数 和 TPM/TCM 的 签名 。 

RAI 证明 与 TLS/SSL 协议 的 认证 方式 相同 ,也 分 为 单 向 证 明和 双向 证 明 , 双 向 证 明 不 
过 是 RAI 在 Requester 一 方 的 重用 ,这 里 主要 探讨 RAT 单 向 证 明 。RAI 证明 时 ,首先 证 明 
系统 TCB 的 可 信 , 采 用 二 进 制 证 明 就 能 满足 要 求 ,IMA 度量 体系 “和 TLC Je SH IR EEUU SE 
现 了 这 种 方法 。 该 方案 中 ,证 明 TCB 启动 时 各 个 部 件 及 PCR0 一 PCR9 的 安全 性 。 然 后 再 
证 明 与 RAI 直接 关联 的 用 组 件 表示 的 可 信 计 算 环境 的 安全 性 ,证 明 时 TCMG 执行 A(i,a， 
DD,) 算 法 为 RAI 实例 生成 证 明 凭 证 ,TSMG 借助 证 明和 凭证 和 证 明 状 态 数 据 D 进行 证 明 。 
由 于 操作 系统 、 应 用 软件 自身 缺陷 和 漏洞 的 暴露 ,以 及 攻击 技术 的 提高 , 原 有 的 组 件 配 置 将 
不 再 满足 某 一 安全 属性 , 原 有 颁发 的 属性 证 书 将 无 效 ,证 书 发 布 权威 机 构 将 予以 撤销 。 一 般 
来 说 ,验证 组 件 属性 证 书 是 否 被 撤销 有 两 种 方法 : 一 种 方法 是 TCB 本 地 验证 ,CM 验证 管 
理 的 属性 证 书 是 否 有 效 , 如 果 运 行 的 组 件 的 属性 证 书 已 经 被 撤销 ,立即 通知 系统 管理 员 , 通 
知 Requester 某 组 件 运 行 状 态 不 安全 ; 另 一 种 方法 是 远程 验证 ,Requester W Cid. p) rif iE 
书 权威 机 构 ,验证 属性 证 书 是 否 被 撤销 。 由 于 存储 在 本 地 用 于 验证 的 CRL 存在 被 替换 和 版 
本 回 滚 (Version-Rollback) 的 危险 ,文献 [9] 提 供 了 一 种 TPM 封装 存储 CRL, 定 期 更 新 
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CRL 的 本 地 验证 属性 证 书 的 方法 。 为 了 降低 本 地 系统 的 复杂 性 ,采用 远程 验证 组 件 属性 的 
方法 ,其 缺陷 是 在 仅 进行 证 明 组 件 属 性 的 RAI 证 明 中 ,降低 了 平台 组 件 的 隐私 性 。 

前 面 对 RAI 证 明 的 相关 问题 及 解决 方法 进行 了 概述 ,下 面具 体 阑 述 RAI 证 明 流程 ,为 
简化 起 见 将 忽略 对 TCB 状态 的 证 明 。 

(1) Requester 向 RAI 发 送 nonce 和 attestpolicy, 

(2) RAI 解 析 attestpolicy ,并 完成 以 下 操作 。 

(D MA 度量 组 件 : M(id) :二 {log,X)。 

@ TSMG 构建 RAI 会 话 组 件 树 ,形成 证 明 状 态 数据 D. 

@ TCMG 请 求 TPM/TCM Æ WIEHE, sA Ga, D; st), PCR 初 值 为 一 1 的 
VPCR 值 , 记 为 PCR。 ,其 中 

s = [0;, VPCR; ,nonce,t;,Sign(sk, H (nonce || t; | VPCR;))] (16-8) 

(3) RAI 向 Requester 3X s.log 和 PCR. 

(4) Requester 完成 以 下 验证 操作 。 

(D Requester 验证 证 明和 凭证 ,(VPCR; ,t;)<-Ay(s,i,a,pk). 

© 验证 组 件 属性 是 否 被 撤销 ,然后 重 构 会 话 组 件 树 , 计 算 根 节点 ,验证 0, —0]. 

@ 验证 VPCR;=PCR, * bf 。 

(D 前 两 步 都 验证 成 功 ,Requester Xf t; Al VPCR, 颁发 确认 凭证 。 

RAI 实例 收 到 Requester 的 确认 凭证 后 ,TSMG 会 将 如 和 VPCR, 标识 的 证 明 凭 证 作 
为 最 近 的 一 次 更 新 凭证 ,也 就 是 说 ,这 个 证 明 凭 证 所 描述 的 状态 是 RAT 实例 的 计算 环境 的 
最 新 状态 ,这 样 以 便 以 后 的 更 新 证 明 。 

Multi-RAI 证 明 建 立 安全 会 话 后 , 随 着 正常 的 软件 更 新 .升级 ,或 者 恶意 病毒 和 黑客 的 
攻击 ,导致 会 话 关联 组 件 的 配置 和 运行 状态 发 生 改 变 ,此 时 原 有 建立 的 信任 关系 将 被 破坏 ， 
因此 需要 重新 证 明 。RAI 更 新 证 明 流程 如 下 。 

(1) RAI 更 新 证 明 状态 数据 并 产生 更 新 凭证 证 据 。 

(D TSMG 更 新 实例 RAI[a] 的 最 近 一 次 证 明 状态 数据 ,Di 一 D,， 接 着 计算 会 话 组 件 树 
根 节点 On o 

Q) TCMG 扩展 PCR, VPCR,, = VPCR,,-; * On» AUG A ME HH EWE un ACi, a, Dns 
1,0 ,其 中 um =[0,, VPCR, ot stm sSign(sksH(n || t. || VPCR»)) J. 

© TSMG 生成 更 新 凭证 证 据 f<-U(i,a,D;,D,)。 

f= (wu stm) 

(2) RAI 向 Requester 发 送 f 和 log. 

(3) Requester 完成 以 下 验证 操作 。 

(D Requester 验证 更 新 凭证 tm s (VPCR, stm) Ay Cu, sisa ,pk)。 

© 验证 更 新 的 组 件 属性 是 否 被 撤销 ,计算 出 会 话 组 件 树 根 节点 0 ,验证 On = 0,1 
VPCR, = VPCR,.., * On o 

@ 验证 更 新 凭证 证 据 ,{ (VPCR;,t),(VPCR, .2,)) -UvCf ,i,a,pk)。 

®© 如 果 都 验证 成 功 ,Requester 对 tn 和 VPCR,, 颁发 确认 凭证 。 

(4) RAI 收 到 Requester 的 确认 凭证 后 ,将 凭证 un 作为 最 近 的 一 次 更 新 凭证 。 
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上 述 过 程 中 如 果 RAI 更 新 证 明 验 证 失败 Requester 将 切断 RAI 的 SSL 网 络 连 接 。 如 
果 更 新 证 明 仅仅 是 证 明 属 性 , RAI 实例 的 会 话 组 件 尽管 配置 发 生 改 变 ,但 安全 属性 没有 发 
生 改 变 , 此 时 RAT 没有 必要 进行 更 新 证 明 。 


16.1.3 远程 证 明 方 案 的 安全 性 和 效率 分 析 


在 是 是 无 碰撞 杂凑 函数 、Sign 是 安全 的 数字 签名 方案 的 前 提 下 ,下 面 简要 说 明 可 信 计 
算 环境 证 明 方案 T= (G.M. A. Ay ,U,Uy) 是 安全 的 。 

首先 , 令 x 和 w' 都 是 更 新 凭证 ,满足 Ay Cus i.a pk) RI t—Av Cu isa ,pk), 且 ao 天 ao ， 
由 于 TPM/TCM 签名 方案 假定 是 安全 的 ,Compartment i 在 时 刻 上 只 能 返回 一 个 签名 ,因此 
这 两 个 任 证 x 和 w 是 完全 相同 的 ,凭证 包含 时 刻 1 的 PCR 值 VPCR,。 对 于 Compartment i 
而 言 + 一 1 存在 唯一 更 新 凭证 u ，, 凭 证 包含 VPCR,1。VPCR, 一 VPCR,-1* 0,, 所 以 更 新 凭 
WE u 和 ww 关联 的 会 话 组 件 树 的 根 节点 9, 相等 ,唯一 的 可 能 便 是 RAT 实例 a 可 以 破解 无 磁 
TH ARE PAK H o 

其 次 , 令 f 是 更 新 凭证 证 据 ,w A WEE SEE. W E (CVPCR; 2) CVPCR, + tn )} — 
Uy Cf isa pl) t Ay Cu i, a, pk) tj t, St, f= uj tu, AH T ATA tn 的 VPCR,, 
不 可 伪造 签名 凭证 wu,, 更 新 Oracle 将 PCR 值 由 VPCR,,_1 扩 展 为 VPCR, , VPCR, = 
VPCR。-1， Ono EAER, Sf 包含 时 刻 t; 的 VPCR, 不 可 伪造 签名 凭证 ,VPCR, = 
VPCR 0+1，…。 On HIE. 五 为 无 碰撞 杂凑 函数 ,在 时 刻 记 ,TPM/TCM 仅仅 只 能 返回 唯 
一 的 更 新 凭证 ,所 以 凭证 ur 和 必定 存在 一 个 是 伪造 的 。 

由 上 述 讨 论 可知 ,在 H 是 无 碰撞 杂凑 函数 .Sign 是 安全 的 数字 签名 方案 下 , Multi-RAI 
证 明和 更 新 证 明 是 安全 的 。 

假定 Compartment 中 共有 N 个 组 件 , 同 时 有 工 个 RAI 会 话 实例 运行 于 Compartment 
中 ,在 最 坏 的 情况 下 ,每 个 RAI 实例 平均 拥有 N/I 个 RAI 会 话 组 件 。RAI 会 话 树 的 每 个 节 
HITS PCR 扩展 等 ,TPM/TCM 都 必须 作为 一 个 原子 操作 ,不 允许 被 中 断 。 这 样 对 于 实例 
RAI[a] 的 一 个 更 新 凭证 证 据 而 言 ,TPM/TCM 要 执行 O(I(1 十 log(N/ 站 n)) 个 原子 操作 。 

定义 w 为 实例 RAI[aj] 在 一 个 时 间 单 位 内 发 生 组 件 更 新 ,执行 更 新 证 明 的 概率 ,为 简化 
起 见 ,假定 每 个 组 件 更 新 概率 都 为 w。7y 为 TPM/TCM 执行 一 个 原子 操作 指令 的 平均 计算 
时 间 。J 为 一 个 RAI 组件 时 间 在 同一 个 时 间 单 位 上 请 求 更 新 的 组 件 个 数 期 望 值 (0<J 达 
NV/D,T 为 同一 个 RAI 实例 连续 两 次 请 求 更 新 证 明 的 时 间 间 隔 期 望 值 。 

对 于 Multi-RAI 证明, 更 新 证 据 计算 过 程 f<U(i,a,D;,D,) 是 [i,t] 时 间 段 内 计算 量 
最 大 \ 最 耗 时 的 步骤 。 产 生 更 新 证 明证 据 的 每 个 更 新 凭证 ui(j 二 km) 计 算 上 要 耗费 1 十 J 
十 logCNVD 个 原子 操作 ,其 中 J 为 组 件 Hash 值 更 新 计算 原子 操作 时 间 ,1 为 更 新 物理 PCR. 
的 原子 操作 时 间 。 

T = I +J +log(N/D) (16-9) 

同一 Compartment 中 ,RAI 实例 在 时 间 工 内 组 件 不 更 新 ,不 执行 更 新 证 明 的 概率 为 

(1 一 w)", 所 以 RAI 实例 在 同一 时 间 有 组 件 更 新 的 概率 为 1 一 (1 一 w)", 则 平均 有 


他 0 一 GQ 一) 站 个 组 件 同时 更 新 ,因此 


J= ğa- a-o ~oNT/I (16-10) 
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同一 个 Compartment 有 多 个 RAI 同时 请 求 更 新 证 明 , 即 同时 有 多 个 RAI 的 会 话 关联 
组 件 发 生 更 新 ,同时 更 新 时 ,TCMG 将 按 顺序 依次 更 新 PCR. 进行 证 明 , 在 同一 单位 时 间 内 ， 
TCMG 只 能 生成 一 个 RAI 实 例 的 更 新 凭证 ,其 他 的 RAI 将 进入 等 待 队列 。 若 X 为 执行 更 
新 证 明 概率 为 w 的 时 间 随 机 变量 ,X 服从 几何 分 布 ,E(X) 二 1/w。 那 么 平均 1/w 个 单位 时 
la], RAI 执行 一 次 更 新 协议 ,平均 (1 一 w)/w 个 单位 时 间 没 有 RAT 执行 更 新 协议 。 因 此 ,要 
求 同 一 个 RAI 两 次 更 新 请 求 间隔 时 间 期 望 满足 


Tx ü—o/o (16-11) 
TES (16-10) EASE (16-9018 8] , T= yI4-oyN T 4- yog CN/ D ,因此 
— XO T logON/D) d 
por (16-12) 
然后 对 公式 (16-12) 进行 求 导 ,计算 T AHL SF m TREO ,因此 工 满足， 
vos N(P —9,1=N, 代入 式 (16-12) 中 得 到 
wyN 
= IN z 
= aa (16-13) 


同一 RAI 实例 更 新 证 明 的 平均 间隔 时 间 与 组 件 更 新 的 概率 、TPM/TCM 的 原子 操作 
处 理 时 间 和 Compartment 组 件 的 个 数 密切 相关 ,等 式 (16-13) 给 出 了 它们 之 间 的 相互 关系 。 
TPM/TCM 原子 操作 受 TPM/TCM 物理 芯片 和 硬件 1/0 效率 影响 ,系统 的 组 件 更 新 概率 
是 一 个 不 可 预知 的 因素 ,可 以 通过 分 隔 Compartment 的 组 件 ,使 系统 满足 更 新 证 明 效 率 要 
求 。 将 式 (16-13) 代 入 不 等 式 (16-11) 进 行 化 简 得 到 


l—o 
m oU e. x 
N< TE 5 (16-14) 


在 系统 组 件 更 新 概率 和 TPM/TCM 原子 操作 速度 固定 的 前 提 下 ,可 以 按照 不 等 
式 (16-14) 限 制 Compartment 中 运行 的 组 件 个 数 ,以 避免 同一 Compartment 中 Multi-RAI 
并 发 更 新 证 明 ,而 影响 可 信服 务 层 (包括 TSMG、TCMG CM 等 ) 的 处 理 效率 。 

我 们 对 Multi-RAI 证 明 方案 的 系统 实现 问题 也 进行 了 讨论 ,具体 讨论 可 参阅 文献 [25]。 


16.2 基于 TCM 的 属性 证 明 协 议 


本 节 介 绍 一 种 新 型 的 ,基于 双 线 性 映射 的 属性 证 明 协 议 ( 简 称 为 PBA-BM 协议 )。 该 协 
议 建 立 在 实用 的 完整 性 管理 和 在 线 可 信 第 三 方 基础 上 ,提供 一 个 基于 TCM 安全 芯片 的 属 
性 证 明 协议 ;该 协议 基于 配置 承诺 和 双 线 性 对 CL-LRSW 签名 ,实现 了 远程 属性 证 明 的 真实 
性 和 配置 隐私 保护 等 安全 属性 ,并 且 该 协议 在 随机 Oracle 模型 下 是 可 证 明 安 全 的 。 与 原 有 
的 PBA 协议 相 比 ,PBA-BM 简化 了 属性 证 明 的 属性 撤销 验证 流程 ,具有 更 短 的 签名 长 度 和 
更 少 的 计算 量 。 


16.2.1 属性 证 明 模 型 


基于 属性 的 远程 证 明 减少 了 繁琐 的 计算 配置 的 证 明和 验证 ,由 TCM 安全 芯片 直接 向 
远程 验证 方 证 明 平台 的 配置 状态 所 达到 的 安全 属性 ,满足 验证 方 的 安全 需求 。 在 属性 证 明 
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模型 中 ,主要 的 协议 参与 者 包括 证 明 方 1S EO H 和 安全 芯片 M) ,验证 方 5 和 属性 权威 
机 构 T。 证 明 方 证 明 平台 的 状态 与 属性 凭证 所 描述 的 安全 属性 一 致 ,在 证 明 方 平台 中 假定 
安全 芯片 M 是 真实 不 可 算 改 的 ;验证 方 验证 证 明 数 据 是 否 满足 安全 属性 要 求 ; 属 性 权威 机 
H T 作为 一 个 在 线 的 可 信 第 三 方 ,负责 颁发 平台 的 安全 属性 证 书 , 以 及 验证 属性 证 书 是 否 
撤销 。 在 属性 证 明 参 与 者 中 ,TCM 安全 芯片 和 可 信 第 三 方 都 是 完全 可 信 的 ,属性 证 明 中 最 
常 遇 到 的 两 类 攻击 便 是 伪造 欺骗 攻击 和 获取 平台 配置 隐私 攻击 ,伪造 欺骗 攻击 是 指 被 破解 
的 主机 互通 过 截获 ,伪造 证 明 消 息 ,使 得 即使 平台 处 于 一 种 不 可 信 状 态 ,仍然 能 够 通过 远程 
验证 方 5 的 验证 ;获取 平台 配置 隐私 攻击 则 是 指 恶意 的 远程 验证 方 * 通 过 分 析 证 明 方 提供 的 
证 明 数 据 ,获取 相应 的 平台 配置 信息 以 便 实施 针对 配置 漏洞 展开 攻击 。 
下 面 从 属性 证 明 流 程 来 阐述 属性 证 明 模型 ,参见 图 16. 7。 


可 信 第 三 方 
T 


2.Issue 5.Check 


I.Setup 


证 明 方 了 


Host H WEJ 
€ 


3.Attest 
TOMM 4. Verify, 


图 16.7 属性 证 明 流程 图 


属性 证 明 模型 中 进行 属性 远程 证 明 包含 的 关键 操作 步骤 如 下 。 

(1) Setup。 建 立 属性 证 明 系统 的 系统 参数 ,使 用 密 钥 生成 算法 G(1*) 一 (sk,vk) 生 成 
参与 实体 M 和 了 的 密 钥 对 。 为 TCM 芯片 生成 公 、 私 钥 Msk、Mvk; 为 工 生 成 公 、 私 钥 
sk、vk。 

(2) Issue, IL ick T 为 当前 配置 cs 生成 属性 凭证 , 工 评估 平台 的 配置 cs 所 达到 的 安 
全 属性 ( 设 定 为 ps) ,T 使 用 私 钥 sk 对 配置 属性 对 (cs,ps) 进 行 签 名, 即 颁发 属性 证 书 cre, fA 
后 将 属性 证 书 发 送 回 卫 , 卫 保存 配置 属性 证 书 cre 以 便 随后 进行 证 明 。 

(3) Attest。 验 证 方 s 以 随机 数 N, 挑战 请 求证 明 者 工 证明 其 当前 配置 状态 cs 满足 某 
一 属性 ps, 安 全 芯片 M 首先 计算 cs 的 承诺 C, 然 后 对 配置 承诺 C 进行 签名 , 理 根据 配置 承 
YE C 和 配置 属性 证 书 cre 进行 知识 签名 , 荆 最 后 输出 基于 属性 证 明 的 签名 opea ,将 op 发送 
给 6 进行 验证 。 

(4) Verify。 验 证 方 < 接收 到 工 的 证 明 数据 后 ,首先 验证 请 求 的 随机 数 N, 是 否 一 致 , 紧 
接着 验证 安全 芯片 的 签名 8, 然 后 验证 关于 承诺 C 和 属性 证 书 cre 的 知识 签名 ,最 后 验证 属 
性 ps 是 否 已 经 撤销 。 如 果 上 述 过 程 都 通过 验证 , 则 工 证 明成 功 ,否则 失败 。 

对 于 验证 属性 是 否 撤销 的 方法 多 种 多 样 , PBA 利用 的 是 零 知识 证 明 
cs € CSyevokea HY Jr ik ; PBA-RS 则 是 双方 协商 证 明 的 配置 集合 CS, 保 证 了 需要 证 明 的 配置 一 定 
不 会 是 撤销 的 ;我 们 的 方案 则 是 通过 在 线 的 可 信 第 三 方 进行 属性 撤销 验证 ( 即 Check 过 程 ) 。 

(5) Check。s 向 全 发 送 属 性 验证 数据 ,TT 使 用 私 钥 sk 获得 证 明 过 程 中 使 用 的 属性 证 书 
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cre, 然 后 查询 属性 数据 库 , 判 断 该 配置 属性 (cs,ps) 是 否 已 经 被 撤销 ,最 后 T 将 验证 结果 以 
安全 的 方式 传递 给 6。 

要 在 远程 证 明 过 程 中 保证 耳 .s 双 方 利益 的 前 提 下 ,同时 实现 耳 平 台 的 安全 属性 满足 6 的 
安全 要 求 , 则 属性 证 明 模型 必须 满足 以 下 两 方面 的 安全 需求 。 

COD 不 可 伪造 性 (Unforgeability)。 令 Game$** (1 ) 是 参与 方 eTA 之 间 的 伪造 证 
明 的 攻击 交互 游戏 过 程 ,A 选择 了 一 个 有 效 的 安全 芯片 M ,向 证明 配 置 属 性 (cs ,ps ) ,其 
中 (es',ps') 儿 CS,CS 是 可 以 接受 的 可 信和 配置 属性 集合 。 设 定 A 能 够 截获 修改 .转发 任 
何 参与 者 的 通信 消息 , 即 当 诚实 的 参与 方 按照 协议 正常 执行 ,A 通过 发 送 消息 send CE m) 
和 查询 Oracle O 攻击 属性 证 明 系 统 , 其 中 EE{ 互 ,M,V}。 最 终 A 输出 了 能 够 被 5 接受 的 未 
查询 过 O 的 PBA 签名 oma W A 赢得 胜利 。 设 A 赢得 Gamea 1") HY LH AEE Succi 
(1*) 二 Pr[GameX%(1*) 二 win], 如 果 SuccX**(1*) 关 于 上 是 可 忽略 的 , 则 属性 证 明 是 不 可 
伪造 的 。 

(2) 配置 隐私 保护 (Configuration Privacy), 4 GameX*(1*) 是 参与 方 了 .6、T、A 之 间 
窃取 配置 隐私 的 攻击 交互 游戏 过 程 ,对 于 同一 安全 属性 对 应 的 ?个 可 能 的 配置 对 (csi,ps)， 
设 定 A 能 够 以 优势 概率 AdvLAPB"] 王 |PrL2 二 站 一 1/n| 攻 破 属性 证 明 的 配置 隐私 。 如 果 
对 于 任何 多 项 式 时 间 的 攻击 敌手 A, 攻 击 配 置 隐私 的 优势 概率 Adv Ap” ] 是 可 忽略 的 , 则 
就 说 属性 证 明 方 案 满足 配置 隐私 保护 属性 。 


16.2.2 知识 签名 和 CL-LRSW 签名 方案 


知识 签名 允许 一 方 在 不 泄露 任何 有 用 信息 的 情况 下 证 明 他 知道 一 个 秘密 值 ,这 种 工具 
本 质 上 是 知识 的 零 知识 证 明 或 最 小 泄露 证 明 。 

基于 离散 对 数 的 零 知 识 证 明 协议 已 有 很 多 相关 研究 成 果 , 为 了 描述 这 类 协议 ,采用 文献 
[26] 中 的 标记 法 来 描述 基于 离散 对 数 的 零 知识 证 明 协 议 ,例如 

PK{a,B,6:y= g'h? Ay = gh? A Cu asv) 
RR KF RM 08,9 的 零 知 识 证 明 , 并 且 y= eth? ,3 二 8"h?,u<a<v 同时 成 立 ”。 其 中 ,y、 
ghg h DH ER G=<g>=<h> MB G=<g>=<h> PMR. up Am 
Fiat-Shamir 启发 式 算法 5 将 零 知 识 证 明 协 议 转化 为 对 消息 m BY GR EKO, n ia E: 
SPK{ (a): y=g"}(m). 

CL-LRSW 签名 方案 的 安全 性 是 建立 在 LRSW 假设 基础 之 上 ,因此 ,这 里 先 介绍 一 下 
LRSW 假设 。LRSW 假设 是 指 : $ G=(g) 是 循环 群 ,X,YEG,X 一 8 Y 一 9。 假定 有 一 
Oracle O, 当 输入 mE Z, ,随机 选择 acEG, 输 出 3 元 组 (a,a? ,as ), 则 一 定 不 存在 有 效 的 
攻击 敌手 通过 多 项 式 次 数 内 查询 Oracle O, 输 出 了 未 查询 过 的 消息 m 对 应 的 元 组 (m,a,b， 
c) ,满足 m40,b=a’ ,c 一 ar+my 。 

我 们 的 属性 证 明 协 议 建立 在 CL-LRSW 签名 方案 的 基础 上 ,与 普通 签名 方案 不 同 的 是 ， 
CL-LRSW 签名 方案 使 用 了 双 线 性 映射 e, 而 且 能 够 快速 有效 地 进行 知识 签名 构建 密码 协 
议 。CL-LRSW 签名 方案 包含 以 下 几 个 算法 。 

(1) Key generation。 用 于 生成 签名 方案 所 需要 的 密 钥 对 ,执行 Setup 算法 生成 
(gq,G,Gr，8，8T，e) ,随机 选择 TERZ。 Aly € aZ, HR X=" Y —g EE sk= Gr. y) ,pk 
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(qd,G,Gr,g,gTrye,XY)。 

(2) Signature, #7 A I E. m. $448 sk 一 (z,y) 和 公 钥 pk 一 (q,G,Gr,g,grye,X,Y), 随 
机 选择 a € 4G ,输出 签名 o— (asa? a), 

(3) Verification。 输 入 公 钥 pk 一 (q,G,Gr,g,grye,X,Y) ,消息 m 和 待 验证 的 签名 o 二 
(a,b,c) ,然后 检查 ela, Y)=e(g.b),e(X,a) + e CX,D)"—e(g EAM. 

上 面 介绍 了 CL-LRSW 签名 方案 只 签名 一 个 消息 的 简单 情形 ,实际 上 CL-LRSW 签名 
方案 可 以 推广 到 签名 多 个 消息 的 情形 。 我 们 的 属性 证 明 协议 中 就 使 用 了 签名 两 个 消息 的 情 
形 。 下 面 介绍 CL-LRSW 签名 方案 签名 两 个 消息 的 情形 。 

(1) Key generation。 密 钥 生 成 算法 用 于 生成 签名 方案 所 需要 的 密 钥 对 ,执行 Setup 算 
法 生成 (q,G,Gr,g,g8T,e), 随 机 选择 zxERZ,yERZ,。 和 >EnZ, 计 算 X—gY—g.z— 
g ,设置 sk 一 (z,y,z),pk 一 (q,G,Gr,g,8Tye,X7,Z)。 

(2) Signature, ij ATH (n, r) AG sk— Ges y 20 MAH pk — (1G. Gr g gre X, Y, 
Z) ,随机 选择 a€ RG +R A—a ba ,B—A* ca" A™ ,输出 签名 o==(a,A,b,B,c)。 

(3) Verification, AZA 9] pk. W E COn, r) 和 待 验证 的 签名 c, 然 后 检查 e(a,Z) = 
e(g,A) ,eCa, Y) —eCg D) ,eCA, Y) =e(g,B),e(X,a) * e (X,b)" * e (X,B)’=e(g,c) 是 否 
成 立 。 

文献 [29] 中 证 明了 CL-LRSW 签名 方案 在 LRSW 假设 下 是 安全 的 , 即 能 够 抵抗 适应 性 
选择 消息 攻击 。 我 们 的 协议 采用 该 方案 对 承诺 消息 进行 签名 , 即 对 消息 对 (m,r) 进 行 CL- 
LRSW 签名 。 


16.2.3 基于 双 线 性 对 的 属性 证 明 协 议 


l. 属性 证 明 协 议 流程 
(1) Setup 
设置 属性 证 明 系 统 安全 参数 1,、ln 、ls, 其 中 ,1, 为 素数 g 阶 群 的 阶 的 长 度 ,ln 为 用 于 
Fiat-Shamir JA RARE" AY Hash 函数 的 输出 长 度 ,2w 为 用 于 控制 零 知 识 证 明 的 安全 参数 
的 长 度 。 令 互 是 协议 中 用 到 的 强 无 碰撞 的 Hash pa BE. (0.1) 一 {0,1) 。 械 选择 两 个 阶 
为 素数 g WH G=(g) ,Gr 二 (gt), 以 及 群 G 和 Gr 之 间 的 双 线 性 映射 ee:GXG->Gr ,然后 工 
按照 CL-LRSW 签名 的 参数 设置 私 钥 sk 一 (z,y,z) , 公 钥 pk 二 (gq,G,Gr,g,gt,e,X,Y,2)。 
(2) Issue 
五所 在 平台 进行 平台 配置 状态 完整 性 收集 ,然后 以 当前 平台 配置 cs HR 工 颁发 配置 属 
性 证 书 。T 根据 配置 状态 信息 进行 安全 属性 评估 , 设 定 评估 后 的 安全 属性 为 ps。 人 对 (cs， 
ps) 颁 发 配置 属性 证 书 cre, 即 使 用 私 钥 进行 CL-LRSW 签名 ,签名 结果 为 (a,A,b,B,c), 其 
h a€ gG, A= a ,b—a!'.B—A',c—a 77A 75, So=(a.A.b.B.c) WEG BO EUR TE 
证 书 cre= (Ces. ps) 02, 
THF Bic TU PEE 35 RIK 45 IT IE T FRU F Zr RUE JS EE B A ACHE I 验证 通过 
后 保存 属性 证 书 , 以 便 以 后 进行 属性 证 明 。 
e(a,X) = e(g,A)， eCa YO = e(g D. eCA YO + e(g,B), 
e(X.a) * e X,D? + e (X,B)* = e(gsc) 
颁发 的 CL-LRSW 签名 具有 随机 化 的 属性 ,选择 随机 数 r^ € Zz ,计算 a =a", = 
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b, A'=A" , B'- B',. c—c WIBSELIEIR BY o^ = Ca, A’, 0’, B’ oc’) tH BTCA (cs. ps) 的 
CL-LRSW 签名 。 
(3) Attest 
5 以 随机 数 N, €r {0,1) 所 挑战 请 求 工 所 在 平台 进行 属性 证 明 , 卫 接收 到 请 求 后 ,由 主机 
FA HHA TCM 芯片 (M) 进 行 配置 证 明 。M 在 内 部 使 用 随机 数 发 生 器 RNG 生成 nro 
ERZ; N, Ex {0,1)4 RHR hr =e} EGr ,利用 12.1 节 介绍 的 Pedersen 承诺 方案 Ae 
成 cs 的 承诺 C= gt he ,使 用 TCM 芯片 的 PIK(Platform Identity Key) 对 承诺 进行 签名 , 签 
名 为 6 一 Sigw(C,N。 | ND. 
ME gr hy Cur) 0N, 发 送 给 主机 互 进行 属性 证 明 签名 。 
H 随机 化 平台 属性 证 书签 名 so,a’ =a" ,b' =b ,A' =A" .B'—B'.c —o um rn, 
rERZ; HEM t,t. RZ ,计算 o 50 + gi? ,然后 计算 以 下 参数 : 
v, = e(X,a’), Vy = e(X,b'), vw, =elgsc’), Var = e(X,B') 
在 这 一 步 可 以 优化 协议 计算 , 主机 可 以 根据 属性 证 书 预 先进 行 Pairing 计算 ,wz 一 
eCX a) v y —eC(X D) v ,—e(gsc) v S, =e(X,B), 当 HH 接收 到 证 明 挑 战 请 求 时 ,基于 上 述 
预先 计算 的 值 能 非常 容易 地 计算 出 v. = Co" v. = ay)” =D)" ms = Taye)” o 
紧 接 着 由 H 按照 以 下 步骤 计算 知识 签名 : 
SPK{ (Ces srosrsti stz) | vvu =u, A C= eth? ^d 
—X^ A d, = Y* JON,.NO 
© H 选择 随机 数 R, ,R: RS ,Ri ,Ri € SZ; EET, — vi (ovon), Ta = gp h®, 
d,—X^ d: =Y", 
Q HHA 
cn = Hlg IXY la lo llc AN BI gr lar ICI oo 
ll di I| da I ve I vay lv Io I di Hd I Ti I T NL IND 
© 五 计算 


sı = Ri — cu * cs mod q; s: = Rz — cu * romod q, 
53 = R; — cy * rmod q, s, = Ry — cy * timodg, 
ss = R; — cy * tjmod q 
最 后 H 输出 基于 属性 证 明 的 签名 ops = (0. Cea b sc ,A’,B’ yc 9 51 9 S09 53 954 955) ,将 
相应 的 证 明 数 据 传 送 给 5。 
(4) Verify 
验证 方 < 知 道 可 信 第 三 方 验证 属性 证 书 的 公 钥 pk— qG, g Gr eX .Y 2 «ifi EL IL lc 
之 间 需 要 证 明 的 安全 属性 ps 也 是 在 通信 过 程 中 预先 协商 好 。 当 < 接收 到 关于 (CN.,N,) 的 基 
于 属性 证 明 的 签名 oro. ,6 执行 以 下 步骤 进行 验证 。 
O 6 验证 hr É Gr, (EH TCM 芯片 的 PIK 公 钥 验证 其 对 承诺 的 签名 : Verfw(6,C,N, | 
NO Etrue 
Q RIE e(a’,Z)+e(g,A’), e(a’ Y) Te(g,b), eCA' Y) Le(g,B’) 
© = 计算 
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0, =e(X,a’), RO v,—e(qnc), tye = e(X,B’); 
T, = vv Cuvee, T, = gihtCu, d,— X*dp, d,—Ysdp 
© 紧 接着 5 验证 
cy = Hll gX NY la lo lc lA ll B' ll gr War ll CH o. 


|| di I| da I| ve I vay I vaye He Meds Hl de Ts tN, IN) 
© 6 发 送 (6, ,di «dz ps) Sl T, 请 求 验证 配置 属性 (cs,ps) 是 否 撤销 。 
© 如 果 上 述 验证 过 程 都 通过 了 ,5 输出 ACCEPT ,否则 输出 REJECT. 
(5) Check 


6 使 用 (6, ,di ,ds ,ps) 请 求 工 验证 被 承诺 的 配置 属性 是 否 被 撤销 ,计算 o= gpeg ' 根 据 


ps 和 在 已 经 颁发 的 属性 证 书库 中 查找 ,查询 到 相应 的 项 则 表明 被 承诺 的 配置 属性 依然 有 
效 。 如 果 互 证 明 的 配置 属性 已 经 被 撤销 , 则 了 通知 5 拒绝 该 次 证 明 。 对 于 了 而 言 , 若 预先 
计算 出 1/z 和 1/>y, 则 能 够 提高 验证 属性 是 否 撤销 的 效率 。 

2. 协议 安全 性 证 明 

定理 16.1(Unforgeability) 在 LRSW 假设 成 立 .解决 离散 对 数 问题 困难 以 及 TCM 物 
理 安全 的 条 件 下 ,上 述 PBA-BM 协议 提供 了 不 可 伪造 性 的 安全 属性 。 更 精确 地 讲 就 是 ,如 
果 攻 击 者 A 能 够 以 不 可 忽略 的 概率 伪造 PBA-BM 签名 , 则 存在 模拟 器 5 在 多 项 式 时 间 之 
内 能 够 以 不 可 忽略 的 概率 破解 LRSW 假设 或 解决 离散 对 数 困 难 问题 。 

WEBB 如 果 攻 击 者 A 在 属性 证 明 过 程 中 能 够 伪造 PBA-BM 签名 , 则 将 能 够 利用 攻击 者 
A 构建 一 个 算法 B 解决 LRSW 问题 。 下 面 详细 曾 述 模拟 器 S 的 构造 ,S 按照 前 面 所 述 的 协 
议 与 攻击 者 进行 攻击 游戏 ,S 设置 了 的 公 钥 为 pk 一 (9,G,g,Gr,e'X,Y,Z), 私 钥 为 sk 一 
(xy) ,但 是 S 并 不 知道 该 私 钥 。 然 后 S 将 设置 的 公开 参数 告知 攻击 者 A 。 

S 模拟 属性 证 明 协 议 各 个 步骤 ,需要 设置 颁发 属性 证 书 ,PBA 属性 证 明和 属性 撤销 等 
Random Oracle。 为 了 实现 攻击 者 A 的 Oracle 查询 的 一 致 性 ,S 维护 了 下 面 这 几 种 List: 
Lu 用 来 存储 用 于 知识 签名 SPK{(cs,ro rti ste) ln) Ge) AY Hash Oracle H 的 查询 和 应 
答 数 据 ;Lr 用 来 保存 配置 属性 证 书 颁发 过 程 中 的 查询 和 应 答 记 录 ,Li 中 的 每 一 项 记录 为 
(cs,ps,cre,s) ,其 中 cre= (a, A,b,B,c),s=1 表示 关于 (cs,ps) 的 配置 凭证 属性 证 书 已 经 被 
撤销 ;反之 , 则 为 ;二 0;Ls 表示 Attest 证 明 过 程 的 查询 和 应 答 记 录 列 表 ,Ls 中 的 每 一 项 记录 
ACP; +N, «cre sopsa ^c) ,其 中 c= 二 1 表示 证 明 方 P. 已 经 被 攻击 者 破解 控制 ,也 即 是 P; 平台 的 
EMH: BARA 所 控制 ,反之 , 则 c 一 0。 

Simulator; H (m), lil Cm. h) € La, WGE E h; BM, S 选择 均匀 分 布 的 随机 数 
hEr {0.1} ,将 (m,h) 增 加 到 列表 Ln PAIR ho 

Simulator: Issuing(cs)。 假 定 攻 击 者 A 不 会 进行 重复 的 查询 。 给 定 攻 击 者 A 一 个 新 
的 配置 cs, 模 拟 器 S 代表 可 信 第 三 方 对 提供 的 配置 cs 进行 安全 属性 评估 , 设 定 评估 的 属性 
为 ps。 模 拟 器 S 使 用 配置 属性 对 (cs, ps) 查询 Oracle O, O 应 答 相应 的 属性 证 书 cre 一 
(a,A,b,B,c) ,然后 S 新 增 记录 (cs,ps,cre,0) 到 列表 Li。 

Simulator: Revoke(cs)。 假 定 攻 击 者 A 在 进行 配置 cs 的 撤销 查询 之 前 ,必须 执行 过 同 
一 配置 的 属性 证 书 颁发 查询 Issuing(cs) ;否则 ,模拟 器 S 必须 先 执行 Issuing (cs) 查 询 。 模 
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拟 器 S 首先 在 列表 Li dif Bic R (cs, ps, cre, 0), 38 [8] cre, 然 后 更 新 该 项 记录 为 (cs,ps， 
cre,1), 

Simulator; Attest(cs), ik N,€ {0,1) 和 是 由 攻击 者 A 选择 的 随机 数 ,N,E (0,1}4 0 
是 由 模拟 器 S 随机 选择 。 攻 击 者 选择 (N, ,cs,ps,cre) 请 求证 明 方 P 进行 证 明 ,S 在 列表 Li 
中 查询 到 记录 (cs,ps,cre,0/1) ,然后 计算 属性 签名 ores ,对 配置 进行 属性 证 明 的 过 程 我 们 考 
虑 到 以 下 两 种 情况 。 

情况 1: 安全 芯片 TCM 是 物理 安全 不 可 能 被 破解 ,而 证 明 方 P( 即 主机 ED Agi Sc HS E 
明 协 议 参与 者 。S 首先 计算 TCM 的 配置 承诺 ,然后 根据 基于 属性 证 明 协 议 计 算 PBA-BM 
签名 。 

CL) 攻击 者 A 以 随机 数 N, 挑战 模拟 器 S 证 明 ,S 随机 选择 f,kE€ Z; ,NE (0,1) dE 
着 计算 ht 二 gf,C 二 g*,C 是 安全 芯片 的 配置 承诺 ,然后 TCM 对 承诺 签名 得 到 6,S 将 gt， 
AT,N,,C,6 发 送 给 主机 A. 

(2) 模拟 器 S 随机 选择 sı ,ss € RZ) 。 

(3) 模拟 器 S 随机 选择 t1 ,ts ,ss ,ss € RZ; ETE di X^ ,ds 一 Ya 。 

(4) 模拟 器 S 随机 选择 r,s; eZ c EG HF a’ a" ,b/ —b ,A' — A" ,B'— B", 
o=o. git, 

(5) 模拟 器 S HA v. —e(X a D v, —e(X 0) v, =elg,c) vy. eX B^), 

(6) 模拟 器 S 随机 选择 cn Er (0.1) ,在 列表 La 中 查询 cn ,如 果 存 在 则 重新 执行 这 
一 步 。 

(7) 模拟 器 S 计算 T, — vio Coon, a T, — gH EC d, — X dii d, =Y" d}, 

(8 B w—-gllellXIYla |» lc WA IB ler l hz ll C llo, ll di ll ds lo. I 
Vey |l v Lvs Idi Ul de I Ty Ul Te N, | N,, 在 列表 La 中 查询 (ca ,w) 是 否 为 其 中 一 项 记 
录 , 如 果 是 , 则 回 到 Attest(cs) 模 拟 的 第 (1) 步 开始 重新 执行 ,否则 ,将 (cyzw) 增 加 到 列 
dé La 中。 

(9) 模拟 器 S 输出 cpaA 一 (6,C,a' «b sc A B' sci 951 952 953554955) o 

(10) 模拟 器 S 将 (Nu,cre,oraA,0) 增 加 到 Ls 列表 中 。 

情况 2: 安全 芯片 TCM 是 物理 安全 不 可 能 被 破解 ,而 证 明 方 P( 即 主机 互 ) 却 被 攻击 者 
所 控制 。 在 这 种 情况 下 ,S 将 模拟 A 控制 主机 平台 H 实际 攻击 TCM 证 明 ,如 果 Attest 过 
程 成 功 完成 ,S 将 从 攻击 者 A 获取 关于 配置 cs 的 属性 证 明 签名 oppa TI, Attest 过 程 失 
败 ,也 即 是 攻击 者 伪造 签名 失败 。 


对 于 Attest 过 程 的 协议 输出 .Ca .bc A BY Ti en s sess s BUR S 
的 协议 模拟 过 程 与 实际 协议 执行 是 不 可 区 分 的 。 在 上 述 属性 证 明 模 拟 过程 结 束 后 ,如 果 攻 
击 者 A 能 够 以 不 可 忽略 的 概率 e 伪造 出 满足 验证 方 验证 的 属性 证 明 签名 ,那么 就 能 够 构造 
出 算法 B. 以 至 少 与 解决 LRSW 假设 问题 ,或 者 以 至 少 解决 离散 对 数 困难 问题 。 给 定 算法 
B LRSW Stfsl(q.G.Gz g.gz e XY) Jt G=(g) BURR .X.YCG.X=g",Y=g" XX 
线性 映射 e:GXG—>Gr , 群 Gr 的 生成 元 为 gtr 一 el(g.g), 输 入 mE€ Z, HK B 在 没有 以 m € 
询 过 LRSW Oracle O 的 情况 下 ,以 不 可 忽略 的 概率 输出 (m,a,b,c), 满 足 a EG, b =a’, 
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c 一 om" , 则 解决 LRSW 假设 问题 。 

假定 A 针对 某 平台 配置 属性 对 (cs,ps) 输 出 伪造 属性 证 明 签名 ,模拟 器 S 随机 选择 
xERkZ,, 计 算 Z—ag'. 5 LRSW 假设 实例 的 参数 设置 类 似 ,算法 B 构造 PBA-BM 方案 的 系 
统 参数 为 pk 一 (dg,G,Gr,g,gr,e'X,Y,Z),sk 一 (zy,z)。 假 定 攻击 者 在 伪造 属性 证 明 签名 
前 共 查询 q, 次 Attest Oracle, 查 询 的 属性 配置 对 为 (csi,psi),i 一 1,…,q,, 由 于 A 伪造 的 属 
性 证 明 签 名 的 配置 属性 对 (cs,ps) 并 未 查询 过 Attest Oracle, 所 以 (cs,ps) 天 (csi,psi)。 下 面 
分 两 种 情况 进行 讨论 属性 证 明 协 议 的 不 可 伪造 性 。 

CD 对 于 属性 配置 对 (csi,psi) ,一 1,，…，,g:，,cs 十 ps。z 天 csi 十 psi。 =, 至 少 为 二 的 概率 
FERA iE cs 十 ps。 z= cs; tps: e zx。 在 这 种 情况 下 攻击 者 A 可 以 计算 得 到 = 一 


E mod q, 所 以 将 < 设置 为 目标 值 ,攻击 者 能 够 破解 离散 对 数 困难 问题 。 


(2) 对 于 属性 配置 对 (csi,psi) ,i 二 1,*… ,4.， 至 少 为 的 概率 cs 十 ps。z 天 csi 十 ps。zx。 
若 模拟 器 S( 扮 演 验 证 者 ) 从 攻击 者 A 处 获得 某 个 有 效 属性 证 明 签名 orea ,并 且 该 签名 不 在 
S 保存 的 证 明 数 据 列表 工 s 中 。S 可 以 重 置 攻击 者 A 到 调用 证 明 Oracle 产生 签名 中 c 的 时 
间 点 ,从 而 为 A 提供 不 同 的 cn ,因此 S 可 以 提取 出 两 个 关于 (6,C,T ,Ts,a ,b,c A’ BORZE 
名 ,拥有 不 同 的 ck 和 5 sa ess sss, 这 两 个 签名 设 定 为 
(CC 五 人 Be 
(3, C, T, , T, sa’ b pe, A,B pep p pP , 56? , 50 56) 
设置 w =g b 二 ge,c =g ap VEZ; o dx Amd ess (X=1, 
2,«,5) 4 Acu =c ch? Ask si, 一 cl 。 这 两 个 签名 都 满足 属性 证 明 的 验证 条 件 ; 
T, — vb og? owe, T, = ul vii uvm.) 
HP v, —e(X aD vy =e(X 0) o, = elge) v. —e(X B^, 
因此 o? =u) Co, v5.2? ,由 于 Ac 天 0, 等 式 两 边 同 时 进行 Aca! 乘 方 运算 ,再 令 $x 一 
Si OCC 1,2, 5) ABI ii cos viv, BDA (Rewind) cidit A 的 证 明 过 


程 可 以 知道 c= Los (4 m8, o ps * zmod g, 并 且 (3 ,ps) 为 查询 过 证 明 Oracle, H 
PBA-BM 方案 的 验证 算法 可 知 ,属性 证 明 签名 ors 二 (6,Cya’,b sc,A’,B,*,x*,x,x,x,*) 
WE: (1)e(a’,Y)=e(g,b); (2) v8 =vv vs  BleCg.c 0s =e(X,a’) * e (Xb) 。 
e (X, BI: 
(D ea’, Y) —eCg b). 
e(g* .g?) =e(g.g") 
eT =8t 
所 以 B— ya mod q. 
(2) e (Gic =e(X,a") * e GU * e QCG BO? 
AW e(X, BO —e(X, A?) =e(X,a") =e (X,b')* BEA 
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e(gsc)5 一 e(X,a’) + eX 4b + e(X,B)™ 
e( gsc’) 一 e(X,a’) * eX D) » (Xb!) 
erc) = e(X,a’) * eX b) 

elg, g?) = elg" sg") «eX Sb" 


FREVA S; * y=(at+mzy)amod q, 

ZITHA m=cs+ps * zmod g, 算 法 B Hitt a=a' = g, b=b = gf, c= cs 
gs” W Ona, b,c) RE LRSW 假设 问题 的 实例 ,它们 满足 : b= g 5g” Saeg I 
got m — atm 因此 ,如 果 攻 击 者 A 能 够 以 不 可 忽略 的 概率 赢得 攻击 游戏 Games C1), 
要 么 算法 B 就 能 够 以 不 可 忽略 的 概率 解决 LRSW 问题 ,要 么 就 能 够 以 不 可 忽略 的 概率 解决 
离散 对 数 困难 问题 。 

定理 16. 2(Configuration Privacy) 上述 PBA-BM 协议 提供 了 配置 隐私 保护 的 安全 属 
性 。 更 准确 地 说 ,如 果 存 在 攻击 者 A, 他 能 够 以 不 可 忽略 的 概率 区 分 出 不 同 的 平台 配置 , 则 
一 定 存在 多 项 式 时 间 内 运行 的 模拟 器 S 能 够 以 不 可 忽略 的 概率 破解 承诺 方案 的 隐蔽 性 。 

证 明 我 们 构建 模拟 器 S 扮演 协议 中 的 诚实 参与 方 , 与 攻击 者 A 交互 进行 游戏 
GameX?" (1*)。 可 以 证 明 即 使 在 攻击 方 A 具有 不 受 限 的 计算 能 力 (Computationally 
Unbounded) 的 前 提 下 ,对 于 安全 参数 上 ,赢得 游戏 的 最 大 优势 概率 Adv Apa” ] 是 可 忽略 
的 。 如 果 攻 击 者 能 够 攻破 PBA-BM 方案 的 隐私 保护 , 则 模拟 器 S 就 能 够 打开 承诺 中 隐藏 的 
秘密 。 

给 定 模拟 器 S AIR C= gl he ,其 中 csE CS— (esi es; cs, ) ,然后 与 攻击 者 A 之 间 
进行 攻击 游戏 Gamer 00, 4 S 收 到 来 自 A 的 挑战 随机 数 ,使 用 C 作为 承诺 执行 PBA- 
BM 签名 协议 ,创建 TCM 的 签名 6 二 Sigu(C,N, || N,) ,模拟 器 S 是 无 法 知道 承诺 隐藏 的 秘 
密 cs 和 r。。 因 为 攻击 者 是 计算 上 不 受 限制 的 ,S 能 够 计算 出 a,t, 满 足 hr 一 g4,C 一 gi 二 gt”， 
S 从 列表 Ly 中 找 出 证 明 相同 目标 安全 属性 的 配置 属性 证 书 (cs; ps cre.) Gi 1. ,对 于 一 
个 属性 证 书 cre; 能 够 构造 出 一 个 元 组 (cs; n ,满足 本 csi 十 ar 。 模 拟 器 按照 Attestgik 的 模拟 过 
程 计 算出 属性 证 明 签 名 o 编 = 二 (6,C,a® ,5 oc AO , B ej esf? 58 5 a RI SH 
oma RIK BEE A. 

攻击 游戏 结束 后 ,攻击 者 A 输出 下 标 j ,如 果 cs; = cs, S 能 够 使 用 (csi 7; FTF RIG C. 
模拟 器 S 打开 承诺 的 概率 也 就 是 A HE cs; —cs 的 概率 。 攻 击 者 A 以 不 可 忽略 的 概率 
Adv[ ARE ] 赢 得 攻击 游戏 Gamex?" (1*) ,必然 暗含 了 模拟 器 能 够 以 不 可 忽略 的 概率 打开 承 
诺 C。 

我 们 对 该 协议 的 实现 性 能 也 进行 了 实验 分 析 , 具 体 分 析 可 参阅 文献 [31]。 分 析 表 明 ,该 
协议 与 其 他 属性 证 明 协议 相 比 ,具有 更 短 的 签名 长 度 和 更 少 的 计算 量 。 


16.3 BCC 直接 匿名 证 明 方 案 


2004 年 ,Brickell 等 人 提出 了 直接 匿名 证 明 (Direct Anonymous Attestation, DAA) 方 
案 55 来 解决 可 信 计 算 平 台 的 匿名 认证 问题 ,以 取代 早期 提出 的 Privacy-CA 方案 。 之 后 ,人 
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们 针对 该 方案 提出 了 不 少 扩展 方案 和 蔡 代 方 案 。 这 方面 的 研究 主要 体现 在 以 下 3 个 方面 。 

CD 对 现 有 DAA 方案 的 安全 性 和 隐私 性 的 改进 。Camenisch 提出 了 安全 性 改进 方 
RE Brickell 对 DAA 方案 进行 了 有 效 的 扩展 ,使 得 它 能 够 支持 更 加 灵活 的 撤销 机 制 ， 
Camenisch 和 Groth'* ffl CL-RSA 签名 机 制 来 提高 原始 DAA 方案 的 效率 后] Smyth 等 
人 讨论 了 如 何在 攻陷 管理 员 的 情况 下 保证 DAA 方案 的 隐私 性 。Backes 等 人 对 原始 
DAA 方案 进行 了 形式 化 的 自动 分 析 "*" 。 

(2) DAA 方案 在 系统 认证 方面 的 应 用 。Camenisch 提出 了 一 种 方案 将 DAA 方案 应 用 
FRPP EZ IER. Leung 和 Mitchell 利用 DAA 方案 在 移动 普 适 环境 中 构建 了 一 个 不 是 
基于 身份 的 认证 方案 5 。 同 时 ,人 们 也 探讨 了 DAA 方案 在 P2P 系统 和 单 点 登录 方面 的 
应 用 。 

C3) 在 不 同 的 计算 环境 中 实现 DAA。Brickell 等 人 提出 了 一 种 基于 双 线 性 映射 的 
DAA HR, HP RAH DAA 方案 过 于 复杂 ,在 移动 平台 上 很 难 实现 ,因此 ,人 们 展开 了 
对 移动 平台 上 DAA 方案 的 研究 。 

本 节 重 点 介绍 文献 L32] 中 提出 的 直接 匿名 证 明 方案 ,简称 为 BCC 方案 。 


16.3.1 CL-RSA 签名 方案 


CL-RSA 签名 方案 中 是 BCC 直接 匿名 证 明 方案 的 基础 。CL-RSA 签名 方案 具体 包括 
以 下 几 个 算法 。 

CD 密 钥 生成 算法 。 输 入 1* ,选择 一 个 特殊 RSA 模 n— pq» p—2p' +1.q=2q' +1. fil 
机 选择 R。，,… ,RL-1,S,Z E QR, (QR, 表示 模 n 的 二 次 剩余 之 集 ) ,输出 公 钥 O, Ross 
Ria SZ) MAGA p、g。 

(2) 签名 算法 。 设 bo。 是 一 个 参数 ,那么 输入 (za s mici ,其 中 m € + (0,1) , BD 
m, € [—2'« +1, 2 一 1]], 选 择 一 个 随机 素数 e, 长 度 为 6. 这 6， 十 2, 以 及 一 个 随机 数 v, 长 度 为 
勾 一 4 十 如 十 4 ,其 中 是 安全 参数 ,b，, 是 的 长 度 。 A A (848 Z— RI + RT) S"A'(Gnod nn)， 
消息 Gm ，,… ,mr-1) 的 签名 是 (e,A,v)。 

(3) 验证 算法 。 为 了 验证 (e, A,v) 是 (mo,…,mi-1) 的 合法 签名 ,检查 ZER 
Ri5! S"A“(mod n) ,并且 检查 2 67 2*7 , 

定理 16.399 CL-RSA 签名 方案 在 强 RSA 假设 下 是 CCA2 安全 的 , 即 抵抗 适应 性 选 
择 消 息 攻击 。 


16.3.2 BCC 方案 的 安全 模型 


BCC 方案 中 采用 了 现实 系统 /理想 系统 模型 。 在 现实 系统 模型 中 ,存在 大 量 的 参与 者 ， 
他 们 之 间 可 相互 运行 安全 协议 ,一 个 敌手 A 可 控制 这 些 参与 者 中 的 某 些 , 一 个 环境 e 可 给 
BAF u 提供 输入 并 可 任意 地 与 A 进行 交互 。 该 环境 可 给 诚实 的 参与 者 提供 输入 并 收 到 
他 们 的 输出 ,可 与 敌手 进行 任意 交互 。 不 诚实 的 参与 者 都 归 类 为 敌手 。 在 理想 系统 模型 中 ， 
有 同样 的 参与 者 ,但 他 们 不 运行 任何 安全 协议 而 是 发 送 他 们 的 输入 到 一 个 理想 的 可 信 方 T 
并 从 工 处 收 到 他 们 的 输出 。 可 信 方 工 从 参与 者 的 输入 计算 他 们 的 输出 , 即 应 用 安全 协议 所 
支持 的 安全 功能 。 

所 谓 一 个 安全 协议 安全 地 实现 了 一 个 安全 功能 是 指 ,如 果 对 每 一 个 敌手 A 和 每 一 个 环 
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Bie 都 存在 一 个 模拟 器 S,S 在 理想 系统 中 所 控制 的 参与 者 与 A 在 现实 系统 中 所 控制 的 参 
与 者 相同 ,并 且 环 境 e 不 能 区 分 它 自己 是 运行 在 与 A 交互 的 现实 系统 中 还 是 在 与 S 交互 的 
理想 系统 中 。 

BCC 方案 中 的 主要 参与 者 包括 : 一 个 颁发 者 工 一 个 具有 身份 id; 的 可 信 平 台 模块 
CTPNDM, ,一 个 带 有 TPM M, 的 主机 互 ,, 一 个 假冒 检测 预言 器 O 和 一 个 验证 者 V, 。 

理想 系统 模型 中 的 可 信 方 工 支持 以 下 操作 。 

(1) Setup: 每 个 参与 者 与 了 交互 ,表明 该 参与 者 是 否 已 经 被 攻击 方 攻陷 (Corrupted) 。 
每 个 TPM M, 发 送 它 的 唯一 身份 id; 给 工 , 工 将 其 转交 给 相应 的 主机 H: o 

(2) Join: 可 信 计 算 平 台 H: i T 发 出 请 求 ,希望 成 为 群 成 员 ,T 询问 M, 是 否 希望 成 为 
群 的 一 员 ,如果 M; 同意 ,T 了 向 颁发 者 发 送 消息 表明 身份 为 id; 的 可 信 计 算 平台 希望 加 入 ， 
WR M; 是 假冒 的 ,TT 将 向 颁发 者 I 表明 这 一 点 。 如 果 了 批准 ,T 向 H: 通知 其 已 经 成 功 地 
加 入 。 

(3) DAA-Sign/Verify: H; 拟 对 消息 m 进行 签名 ,使 用 计数 器 值 cnt 和 基 名 bsn E€ 
{0,1)" ULL). Hi f mbsn f cnt RX T, KI T WIE H./M, 是 否 为 群 的 成 员 , 如果 
不 是 ,T 将 拒绝 五 ,/M; 的 请 求 ;否则 ,TT 将 mr 和 cnt 转交 给 相应 的 M;, 询 问 是 否 同 意 签名 。 
如 果 M: AZT H H: 表明 M; 同意 签名 并 询问 A, 是 否 需要 签名 。 如 果 H: 没有 退出 ,TT 
执行 以 下 步骤 。 

O WR M, 是 假冒 的 ,T 通 知 V: 假冒 TPM 对 m 进行 了 签名 。 

© 如 果 bsn— | ,T 通 知 V;: H,/M, 已 经 用 bsn XE m 进行 了 签名 。 

@ WR bsnl ,T HH H,/M, 是 否 已 经 用 参数 bsn 和 ent 对 消息 进行 了 签名 。 如 果 
是 ,T 在 它 的 假名 数据 库 中 查找 对 应 的 假名 了 ,如果 不是 ,将 随机 生成 一 个 假名 
PER (0,1) U, 是 一 个 安全 参数 ) ,T 通知 Vj;: 假名 为 PP 的 平台 对 消息 m 进行 了 签名 。 

@ Rogue Tagging: 假冒 检测 预言 器 O 告诉 工具 有 身份 id 的 平台 是 假冒 的 。 如 果 具 
有 身份 id 的 TPM 没有 被 攻陷 ,了 拒绝 请 求 ; 否 则 , 工 将 具有 身份 id 的 TPM 标记 为 假冒 。 

该 理想 系统 模型 具有 以 下 的 安全 特性 。 

(D 不 可 伪造 性 (Unforgeability) : 只 有 群 成 员 且 不 是 检测 假冒 的 TPM 或 平台 才能 进行 
签名 操作 ,也 就 是 说 不 是 群 成 员 的 用 户 或 者 已 经 被 撤销 的 群 成 员 不 能 成 功 地 进行 签名 操作 。 

@ 匿名 性 (Anonymity) : 验证 者 不 能 标识 出 签名 者 的 身份 ,如 果 bsn 一 上 ,签名 是 完全 
匿名 的 ,如 果 bsn 隆 | ,签名 有 具有 部 分 的 匿名 性 ,验证 者 通过 假名 了 标识 签名 者 。 

@ 不 可 关联 性 (Unlinkability) : 如 果 bsn= | ,验证 者 无 法 区 分 两 个 不 同 的 签名 是 否 由 
同一 个 可 信 计 算 平台 签发 。 

假定 没有 两 个 验证 者 使 用 同一 个 基 名 bsn, 如 果 有 这 样 的 情况 发 生 , 则 认为 他 们 是 同一 
个 验证 者 。 当 然 , 一 个 验证 者 可 以 使 用 多 个 不 同 的 基 名 。 也 假定 TPM 有 唯一 的 身份 id 可 
以 识别 自身 ,然而 ,颁发 者 总 是 可 以 加 一 些 新 的 Host/TPM 到 系统 ,因此 Host/TPM 的 数 
量 是 不 固定 的 。 在 BCC 方案 的 安全 性 证 明 中 ,也 假定 敌手 总 是 控制 着 假冒 检测 预言 器 O, 
并 且 不 考虑 被 攻陷 的 TPM 嵌入 诚实 的 主机 (Host) 的 情形 。 


16.3.3 BCC 方案 的 基本 思想 
BCC 方案 的 基本 思想 与 CL-RSA 匿名 证 书 系统 的 思想 类 似 "*]: TPM 选择 一 个 秘密 的 
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消息 六 从 颁发 者 (Issuer) 那 里 通过 安全 的 两 方 协议 获得 该 消息 f 的 CL-RSA 签名 ,然后 
TPM 可 以 匿名 地 向 验证 者 证 明 TPM 拥有 对 秘密 消息 f 的 签名 。 为 了 检测 出 假冒 TPM, 
TPM 必须 向 验证 者 发 送 假名 Ny ,同时 证 明 Ny 是 通过 秘密 消息 了 计算 出 来 的 。 

概括 来 讲 ,BCC 方案 主要 包括 了 以 下 几 个 参与 者 。 

(1) DAA 颁发 者 (DAA Issuer) ,该 参与 者 是 发 布 签名 的 机 构 。 

(2) 可 信 计 算 平台 (Host/TPM) ,该 参与 者 是 TPM 或 带 有 TPM 的 Host. 

(3) 验证 者 (Verifier) ,验证 签名 的 参与 者 。 

为 了 简单 起 见 ,BCC 方案 的 安全 模型 中 没有 模型 化 假冒 检测 预言 器 O, 因 为 一 个 诚实 
的 验证 者 原则 上 是 在 假冒 检测 之 前 可 以 识别 假冒 TPM 的 签名 ,因此 ,一般 不 考虑 这 一 参 
与 者 。 

DAA 颁发 者 的 参数 建立 过 程 如 下 : 

(1) DAA 颁发 者 选择 一 个 RSA BER n= pq, p=2p' +1,4=2 十 1,p ,p,q,q MER 
数 ,n 的 比特 长 度 为 4。 

(2) DAA 颁发 者 选择 一 个 随机 生成 元 gE QR,( 模 nn 的 二 次 剩余 群 )。 

(3) DAA 颁发 者 选择 随机 整数 zo ,zi iml ,zx x, € L1. p'a! 1 HHA 

g=(g’)**modn, h -—(g')"modm, S= h" mod n, 
Z = h=mod n, R, = S*mod n. R, = S? mod n 

(4) DAA 颁发 者 生成 一 个 非 交 互 零 知识 证 明 协 议 ,并 证 明 RoR LS Zg h 是 按照 正 
确 方式 产生 的 , 即 g,hE (g'),S,ZE (QD R,.R, € (S), 文献 [32] 使 用 了 以 下 的 零 知 识 证 明 
协议 。 

CD 证 明 者 选择 随机 数 。 

Fawr Tu ErLlsp'q], Fave Fou ErLl,p'g’], 


Liu rs RESLAR 


Fano Fey Erllp'g' 1o Fens Fey Erl pg] 


Fons Fem Eells pg] Za soap Erll pg] 
并 对 i 二 1,… ln 计算 


Eao := (g)*«? mod n, hao := (Gg )*9» mod n, S, : — h^c» mod n, 
Zoo := h'c»mod ny Ro; := Sfe» mod ny Ray := Sian mod n 
Q) 证 明 者 计算 。 


c:=H(n,g,g Ah S. ZR, Ri Eu E ap hano hago Sup ems 


| 


@ 证 明 者 对 i— 1. 计算 。 


A " d. 4 i rp 
Zea = fq —cr,mod Pq, 二 op = Fu,» —c-x,mod pq’, 
de. £0 =f "mo 
Xo = fao — 6r,mod pq . Tom = ro, —cr.mod pq, 
T WOES RR ue nd 
o = f) —ciromod p'q'. Fay. = fa.» — cir mod p'q 


Hp c; c 的 第 i 比特 。 
图 证 明 者 公布 。 


proof d = (Cs Xo 2177 HE GA HOM) 277 Lht) ITD 277 Listy) TD »7 
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作为 g,hE (0S. ZE (h), RoR, € (S) KWEH o 

(5) DAA 颁发 者 生成 一 个 素数 阶 群 。 随 机 选择 素数 p 和 本 使 得 全 二 rp 十 1, 其 中 不 能 
被 p 除 尽 ,并 且 297 <P<2t ,24-1<po<<24。 选 择 一 个 随机 数 y € Zo EG TPF 
1(mod D) ,并 且 令 y=y "mod r. 

(6) DAA MRE RAH, g gh SZ. Ro Ri y Do) MAE EF AIRE IL, 
并 把 p'q HEH WEE ARE o 

BE Hp +) :{0,1}* (0,1) 77 Al HC* 0:(0,1) 一 {0,1) 生 是 两 个 抗 碰撞 的 Hash K 
数 , 其 中 ir 是 模 本 的 比特 长 度 ,ls 是 控制 统计 零 知 识 特性 的 安全 参数 的 比特 长 度 ,Lr 是 用 
于 Fiat-Shamir 启发 式 签名 算法 的 Hash 函数 的 输出 长 度 。 

DAA 颁布 者 的 公 钥 的 验证 过 程 如 下 。 

A) «iE g hE lg), S, ZE (h) ,Ro,RiE(S), 这 一 步 与 DAA 颁发 者 的 参数 建立 过 程 
的 第 (4) 步 对 应 ,具体 过 程 如 下 。 

O X i=1, slu 计算 : 


Bun := g^g^c»modn, han t= hig’ mod ny Sep := Ssh*«» mod n; 


Že t= Zih/co mod n, Ron := Ri So» mod n, Ra.» := Ry S'o» mod n 
其 中 c 是 c 的 第 i 比特 。 
O 验证 是 否 有 : 


c:=H(n,g,g’,h,S,Z,Ro ,Ri ,bop t Keep shay haa Soup ots 


S uo ER yi T ij Roti Bao Rau) 

(2) 检查 p 和 丰 是 否 为 素数 ,是 否 有 o| CT 一 1) ,p 不 能 除 尽 (T 一 1)/p H y’=1(mod D). 

(3) 检查 所 有 的 公 钥 参数 是 否 都 具有 所 要 求 的 长 度 。 

BCC 方案 主要 执行 下 面 几 个 协议 或 操作 。 

(1) DAA-Join 协议 : 该 协议 的 参与 方 是 DAA 颁发 者 和 可 信 计 算 平 台 ,首先 可 信 计 算 
平台 生成 一 个 秘密 消息 f ,然后 将 其 拆 分 成 两 个 长 为 ly 比特 的 秘密 消息 f1 和 户 。 接 下 来 
利用 两 方 协议 对 秘密 消息 进行 签名 ,签名 过 程 如 下 : 首先 TPM 计算 并 发 送 消息 对 (fo fi) 
的 承诺 U 二 RfRfiS* 和 Ni 二 eh14* mod P DAA 颁发 者 ,其 中 v 是 TPM 随机 选择 的 育 
因子 ,st 是 由 DAA 的 名 字 导 出 的 值 ;然后 通过 零 知 识 证 明 协议 证 明 U 和 Ni 被 正确 地 构造 。 
DAA 颁发 者 随机 选择 一 个 整数 和 一 个 素数 e, 并 计算 A = (Z/S) mod n, 将 
(A,e'z) 发 送 给 TPM, FFI TPM 证 明 A 被 正确 地 构造 ,那么 TPM 可 得 到 (f。 ,了 1) 的 签名 
就 是 (A,e,v 二 v' tv"). He. TPM 可 利用 知识 的 零 知 识 证 明 协 议 证 明 他 拥有 fo A 的 
CL-RSA 签名 。 

(2) DAA-Sign 操作 : 在 这 个 操作 中 ,可 信 计 算 平台 用 秘密 消息 (fo, fi) ACA, esv) X} 
TPM 产生 的 AIK( 即 身份 证 明 密 钥 ) 公 钥 进 行 知 识 签名 。 

(3) DAA-Verify 操作 : 在 这 个 操作 中 ,验证 者 验证 签名 的 合法 性 。 


16.3.4 BCC 方案 的 具体 协议 


1. DAA-Join 协议 
设 PKi 一 (ns,g gh S, Z, Ry Ri y D p) i DAA 颁发 者 的 公 钥 ,PKI{ 是 DAA 颁发 者 用 
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于 认证 PK, 的 长 期 公 钥 。 设 所 二 (Hr(1 || bsn) mod r, HEF bsn 是 DAA 颁发 者 的 
长 期 基 名 。 假 定 在 运行 DAA-Join 协议 之 前 ,主机 和 TPM 都 已 经 使 用 PKI 认 证 了 PK. 

设 DAAseed 是 TPM 用 于 计算 fo Al fi 的 秘密 种 子 ,cnt 是 计数 器 的 当前 值 ,该 计数 器 
用 于 记录 TPM 已 运行 DAA-Join 协议 的 次 数 。 假 定 TPM 和 DAA 颁发 者 之 间 已 经 建立 了 
一 个 单 向 认证 信道 , 即 DAA 颁发 者 需要 确信 他 正在 与 正确 的 TPM 交谈 。 这 可 由 下 列 方式 
确立 。 

Q) DAA 颁发 者 选择 一 个 随机 数 n. € (0,1)^ ,使 用 TPM 的 背书 公 钥 EK WME n 后 发 
送 给 TPM, 

(2) TPM 解密 密 文 后 获得 n., 然 后 TPM 计算 au : — HU || n2 ,并 把 av RRA DAA 
颁发 者 。 

(3) DAA 颁发 者 验证 是 否 有 av — HU || n) RE. 

DAA-Siign 协议 的 具体 过 程 如 下 。 

CD. 主机 Host 计算 & :一 (CHr(Gl || bsn)) mod 卫 , 并 发 送 & 给 TPM. 


(2) TPM 检查 是 否 有 C=l(mod r). Bi =| 94 TPM 3HE f += HUN DAAseed l 


HCPKD || ent || 0) [| … || HCDAAseed || HCPKD || ent || Ds fo * — LSB, CO. fi := 
CAR, Cf) v' € &(0,1) ^5 U : =R? R? S“ mod n, Ni :一 gt mod 工 ,并 发 送 U 和 Ni 给 
主机 ,由 主机 转发 给 DAA 颁发 者 。 


(3) DAA 颁发 者 检查 所 有 在 黑 名 单 上 的 fofi 是 否 有 Nm q^ mod PDAA 颁发 
者 还 检查 这 个 平台 是 否 以 前 用 过 NS ,如 果 DAA 颁发 者 发 现 它 在 黑 名 单 上 ,就 终止 协议 。 
(4) TPM 向 DAA 颁发 者 证 明 拥 有 fofi 和 vv, 它 作为 证 明 者 向 作为 验证 者 的 DAA 
颁发 者 执行 协议 
SPK{(fo,fi,v):U =+ R^ R^ S" mod n A N; :一 qnam mod PA fos 
fi; € LOLYA 人 了 € (0,1) 9) Cn, || n) 


具体 协议 如 下 。 

QD TPM 选择 随机 整数 rm ,rn Ee (0,1) 7 和 ry Ee (0,1) 577 ,计算 万 :一 
RÝ R^ S" mod n ALN, : — t^* ^7! mod n JFR% Ù AN, 给 主机 。 

© DAA 颁发 者 选择 一 个 随机 串 n; € {0,1} 和 ,并 把 nn; 发 送 给 主机 。 

@ 主机 计算 cn *=ACr|| Ro || Ri | SIU Nr LO NS In ,并 把 发 送 给 TPM。 

Q@ TPM 选择 一 个 随机 数 n,.€E (0.1)^ ,并 计算 c : =H, || 2)E[L0,2 一 匡 。 

G TPM 计算 55, —rg Fc * fossa =r, Fee fi Mi sg=re tes v.3f d (Com ss, SOR 
送 给 主机 。 

@ 主机 把 (cm ss, A ,sy ) 转 发 给 DAA 颁发 者 。 


© DAA 颁发 者 验证 证 明 , 通 过 计算 器 URfRfS’ mod n, Ni : — Nit^ ^^ mod 
DOES a =H(H Ca || Ro IRISIUINIOIN Is) ln),s, ,ss € 


(0,145 ,sy € (0,1) tatut | 


(5) DAA 颁发 者 选择 一 个 随机 数 0€ & (01) ^ HI XE eEr (2471 2^ 71 72571), 
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FHA V =H MA :一 ( ) mod is 

C6) 为 使 主机 相信 A 是 正确 计算 的 ,DAA 颁发 者 作为 一 个 证 明 者 和 主机 运行 协议 
SPK | (d):A += +( Zr) mod n). 

QD 主机 选取 一 个 随机 整数 mE 10,1}4 ,并 把 m 发 送 给 DAA 颁发 者 。 

@ DAA 颁发 者 随机 选取 r Er (0, pa’) HERE A+ = (per) mod we 一 
Hall ZI S| Ul v IL A LÀ l| mf s r.c / emod p'' HHE cvs, 和 (A,e,z) 发 送 给 主机 。 

O 主机 验证 是 否 。 是 一 个 素数 并 且 属 于 [24- 27 27,4 A :一 


A" (ger) mod ,并 检查 是 否 有 < 一 HG 有 ZI SU AVA I md. 


(7) 主机 转发 给 TPM, 

(8) TPM 收 到 v Ji ERE v to +" AERE fo fie 

DAA-Sing 协议 运行 结束 后 ,TPM 将 获得 秘密 值 fo fi 和 wv, 主机 将 获得 值 A 和 e, DAA 
颁发 者 将 获得 值 Ni, 这 些 值 满足 条 件 ACR? Rf S°=Z(mod 2) Al N;96^*^" (mod D), 


2. DAA-Sign 协议 
Ü n, € (0,1) f —^* nonce {Ë , bsn, 是 一 个 由 验证 者 提供 的 基 名 值 。 设 是 一 个 描述 
协议 使 用 情况 的 字 节 , 即 如 果 5 二 0, 则 说 明 消息 m 是 由 TPM 产生 的 ;如 果 5 二 1, 则 说 明 消 
E m dé TPM 的 输入 。 
(1) © 依据 验证 方 的 请 求 ( 即 bsn, LR bsn,— 10 ,主机 计算 《的 值 。 
CER (ya CH GH& || bsnj)) 77" "mod 有 ,并 把 5 发送 给 TPM。 
@ TPM 检查 是 否 有 &=1(mod D). 
(2) © 主机 选择 随机 整数 wer Ee (0.1) ^ 5 ,并 计算 Ti : — Ah" mod n Al T; :一 
g"h* Cg)! mod n, 
@ TPM 计算 Ny : — t7 ^" mod TRX Ny 给 主机 。 
(3) TPM 和 主机 共同 产生 一 个 “知识 签名 ”, 即 T, A T: 对 证 书 承诺 ,并 且 Ny 是 从 与 
这 个 证 书 相 关联 的 密 钥 计算 得 到 的 , 即 计算 “知识 签名 ”。 
SPK{(fo ,Ph ,uveyrzoyryewyeeyer) : 
Z =+ TE RI R Sh (mod n) A T, =+ gh" g" (mod n) A 1 
=+ Ty‘ gh g' (mod n) 
N Ny t= Goth mod PA fosfi € (0,1) 
A Ce— 2^) € (0,1)€ 5? ) Cn, || n, | b || on 
实际 上 主机 知道 大 部 分 的 秘密 值 ,只 有 f。、f1 和 wv 需要 由 TPM 来 计算 ,计算 过 程 如 下 。 


(Da. TPM 3E WE PALER p. € (0,1) OOH AM ry sr, Ex (0,1) ,计算 Ti :一 
Rife Ri Se (mod n) ,F p= ry, + ry, 2 ,Ny : — (7 mod 有 ,并 发 送 工 ,和 Ny 给 主机 。 
b. 主机 选择 随机 数 p. € & (0,1) *^ y re € 8 (0,1) ToT rer Ee (0,1) n, 
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roc ra € (0,1) ER Tt = TuT yh (mod n), T, :一 gj (g) mod n, 
T t= Ty" ge h'e (g)'« mod n, 

Qa 主机 计算 

a —-HGIGI gle lalR IIR ESILZI ITI S EI Tl T) ll NI | 
Ta I TO NO Ino € [o 2^7 ],JEHE c, 发 送 给 TPM. 

b. TPM 选择 随机 数 n, € (0,1)^ ,计算 c : — HCH Co, || n) || 2 |] md) FFE c An, 发 送 
给 主机 。 

@ a. TPM iE CH BHM) s, =r, +e * vss, = ry, +e e 太一 六 十 <。 矿 ,并 把 (ssm， 
s, ) 发 送 给 主机 。 

b. 主机 计算 (整数 域 )s, : 一刀 十 <。，(e 一 2 s, :二 rw 十 c* Ess imr cetus! 
Two ewe e, s, 31—r,cer,si—r,cseesr, 

(4). 主机 输出 消息 m 的 签名 oa :二 (6, CT T) Ny scs Gs 957, 9p, See Sw 9Sew 957 Ser) ) 0 

3. DAA-Verify 协议 


对 消息 m 89484 o — (CT T) Nv emi Goes, 954, 1809 See + Sw Sew Si Ser )) AY JE TERE 
程 如 下 ( 公 钥 为 (2,8 gh S. ZR ,Ri y T). 
(1) 计算 


T, := ZOT% RIA RA S*h7. (mod n), 
T, rom T; 6 D as, h'e gn mod n, T: := T7‘ g*h stl g^ mod n, 


Ny := Nyg^*h"! mod P, 
(2) 验证 是 否 有 


c- HOKGIQ | gl NalR ER ILS ZI y ln loo SI E TO I Nv Tl 


Te | To’) | Ny ll n> Hs I6 oO. Nv,ge《y)( 可 通过 计算 Ne M E 是 否 全 为 1 来 验证 ,其 
中 p 是 y BID ess osr € (0,1) 779 ps, € (0,1), 
(3) BR c 是 由 验证 者 的 基 名 派生 的 , 则 检查 是 否 有 CA || bsny) 77 "^ mod T. 
(D 对 所 有 在 黑 名 单 上 的 fof; ,检查 是 否 有 Nom mod P. 


4. 假冒 检测 

当 一 个 证 书 (A,e,v) 和 秘密 值 fofi 被 发 现在 Internet 上 或 嵌入 到 某 个 软件 中 , 则 应 该 
将 他 们 发 送 到 所 有 可 能 的 验证 者 手中 。 这 些 验证 者 验证 是 否 有 AR’ RO S'—Z (God n) 成 
立 , 并 把 fo fa 放 在 假冒 密 钥 的 黑 名 单 里 。 这 里 并 不 需要 一 个 证 书 撤销 权威 机 构 。 

关于 BCC 方案 的 安全 性 已 有 以 下 结论 。 

定理 16.407 <y> H DDH 假设 和 强 RSA 假设 下 ,BCC 方案 实现 了 一 个 安全 的 
直接 匿名 证 明 系 统 , 即 满足 不 可 伪造 性 、 匿 名 性 和 不 可 关联 性 。 
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16.4 跨 域 直接 匿名 证 明 方 案 


在 BCC 方案 中 ,主要 的 参与 方 有 DAA 颁发 者 (Issuer) ,可 信 计 算 平 台 (Host/TPM)， 
验证 者 (Verifier) 。 其 中 DAA 颁发 者 是 一 个 发 布 DAA 签名 的 权威 机 构 , 各 个 不 同 的 TPM 
厂商 都 设置 有 自己 的 DAA 颁发 者 ,这 样 就 形成 了 相对 独立 的 信任 域 ,不 同 的 信任 域 会 有 不 
同 的 DAA 颁发 者 ,不 同 信任 域内 的 参与 者 将 信任 不 同 的 DAA 颁发 者 。 而 BCC 方案 只 适 
用 于 单 信任 域 的 情况 , 当 位 于 不 同 域 的 验证 者 和 可 信 计 算 平 台 需 要 交互 时 ,由 于 验证 者 和 可 
信 计 算 平 台 信任 不 同 的 DAA 颁发 者 ,将 不 能 进行 正常 的 直接 匿名 证 明 。 例 如 ,位 于 信任 域 
A 的 验证 者 A 只 信任 公司 A 的 DAA 颁发 者 ,而 不 信任 公司 B 的 DAA 颁发 者 ,即使 可 信 计 
算 平台 B 得 到 了 公司 B 的 DAA 颁发 者 签发 的 证 书 ,公司 A 的 验证 者 也 不 能 信任 可 信 计 算 
平台 B。 

针对 BCC 方案 的 这 一 缺陷 ,我 们 提出 了 跨 域 DAA 方案 。 该 方案 利用 零 知 识 证 明 协 
议 , 有 效 地 解决 了 跨 信任 域 的 直接 匿名 证 明 问 题 ,为 各 个 不 同 厂 商 的 可 信 计 算 平台 之 间 的 匿 
名 通信 建立 了 基础 ,而 且 该 方案 不 需要 修改 现 有 的 TPM 规范 ,可 以 直接 在 TPM 1.2 上 实 
现 。 另 外 ,对 跨 域 DAA 方案 的 匿名 性 和 不 可 伪造 性 进行 了 详细 的 形式 化 证 明 。 


16.4.1 跨 域 DAA 系统 结构 


在 本 节 介 绍 的 跨 域 DAA 系统 (Inter-Domain DAA,IDAA) 中 ,假设 有 两 个 信任 域 
Domain A 和 Domain B, 在 BCC 方案 的 基础 上 ,增加 两 个 参与 方 一 一 护照 颁发 者 (Passport 
Issuer) 和 签证 颁发 者 (Visa Issuer)。 护 照 颁发 者 向 申请 者 颁发 护照 证 书 (Passport 
Certificate) ,而 签证 颁发 者 向 申请 者 颁发 签证 证 书 (Visa Certificate) 。 

跨 域 DAA 的 基本 思想 是 : 如 果 Domain A 的 可 信 计 算 平台 A(Host/TPM A) 要 向 
Domain B 的 验证 者 B( Verifier B) 证 明 可 信 计 算 平台 A 的 身份 (假设 A 已 经 得 到 DAA 颁 
发 者 的 签名 ) ,同时 不 暴露 自己 的 隐私 ,那么 首先 可 信 计 算 平台 A 向 本 地 的 护照 颁发 者 申请 
一 个 护照 证 书 ,该 护照 证 书证 明了 可 信 计 算 平 台 A 在 信任 域 A 中 的 身份 。 然 后 可 信 计 算 平 
f A 用 申请 到 的 护照 证 书 向 信任 域 B 的 签证 颁发 者 申请 签证 证 书 。 最 后 ,可 信 计 算 平台 A 
用 护照 证 书 和 签证 证 书 向 信任 域 B 中 的 验证 者 也 匿名 地 证 明 可 信 计 算 平台 A 的 身份 。 该 
结构 可 以 很 方便 地 扩展 到 多 个 信任 域 的 情形 。 跨 域 DAA 系统 结构 如 图 16. 8 所 示 。 


Domain A 


Domain B 


护照 签证 签证 护照 
颁发 者 4 颁发 者 4 颁发 者 有 颁发 者 8B 
于、 获取 护照 证 书 获取 签证 证 书 
(IDAA-IssuePassport) (IDAA-Issue Visa) 
验证 者 4 ac d DAA Sign/Verify SET 
DAAJoi 可 信 计 算 平台 4 EM a 验证 者 有 Fer 
DAA Join! (含有 DAA 证书 ) (IDAA-Sign/Verify) 
颁发 者 4 [^ — | DAA 颁发 者 


图 16.8 跨 域 DAA 系统 结构 


i: RR 理论 与 实践 


在 BCC 方案 的 基础 上 , 跨 域 DAA 系统 增加 了 以 下 几 个 协议 或 操作 。 

(1) IDAA-IssuePassport 协议 : 通过 该 协议 Domain A 的 护照 颁发 者 A 向 Domain A 
的 可 信 计 算 平台 A 签发 护照 证 书 。 

(2) IDAA-IssueVisa 协议 : 通过 该 协议 Domain B 的 签证 颁发 者 B 向 Domain A 的 可 
信 计 算 平台 A 签发 签证 证 书 。 签发 过 程 中 需要 匿名 地 使 用 护照 证 书 和 TPM 的 秘密 消息 
foshe 

(3) IDAA-Sign/IDAA-Verify 操作 : 通过 该 操作 Domain A 的 可 信 计 算 平 台 A 向 
Domain B 的 验证 者 B 匿名 地 证 明 身 份 。 只 有 同时 拥有 护照 证 书 和 签证 证 书 的 可 信 计 算 平 
台 才 能 向 不 同 域 的 验证 者 证 明 自 己 的 身份 。 

在 下 面 的 讨论 中 ,l; 6, 等 为 安全 参数 ,安全 参数 的 选择 与 BCC 方案 中 的 一 致 。 


16.4.2 i DAA 安全 模型 


下 面 将 描述 跨 域 DAA 方案 的 理想 系统 的 可 信 方 了。 跨 域 DAA 的 可 信 方 工 在 BCC Jy 
案 的 可 信 方 的 基础 上 构建 中 ,并且 增加 了 以 下 几 个 操作 。 

(1) IDAA-PassportJoin: H; 向 T 发 出 请 求 ,希望 成 为 Passport 群体 的 一 员 , 瓦 , Wit 
数 器 值 是 cnt ,然后 了 向 TPM M, 发 送 cnt, 并 询问 M, 是 否 希望 成 为 Passport 群体 的 一 员 ， 
WR M, 同意 ,那么 TREE H./M, 是 否 已 经 成 功 执行 了 DAA-Join HE. MRA. THE 
绝 其 请 求 ;如 果 是 ,T 向 护照 颁发 者 (Passport Issuer) PI 询问 具有 身份 id 以 及 计数 器 为 ent 
的 平台 是 否 能 成 为 Passport 群体 的 一 员 , 如 果 M; 是 假冒 的 ,T 将 向 护照 颁发 者 声明 这 一 
点 。 如 果 护 照 颁发 者 批准 , 工 向 互 , 通知 其 已 经 成 功 地 加 入 。 

(2) IDAA-VisaJoin; 其 过 程 与 IDAA-PassportJoin 类 似 。 

(3) DAA-Sign/Verify: H; 希望 对 消息 m 进行 跨 域 签名 ,验证 者 是 Domain B 的 Vj, 参 
SU bsn€ (0,1) U CL) E Ray ent. H: Em bsn ent RIA T. Pc 工 验证 计数 
器 值 为 cnt 的 H;/M, 是 否 是 Passport 群体 和 Visa 群体 的 成 员 , 如 果 不 是 ,TT 将 拒绝 H;/M; 
的 请 求 ; 否 则 ,了 将 m 和 ent 交 给 相应 的 M; ,询问 是 否 同意 签名 。 如 果 M. 同意 , 工 询问 H, 
是 否 需要 签名 。 如 果 H: 没有 退出 ,T 执行 以 下 步 又。 

(D 如 果 M, 是 假冒 的 ,T HA V: 假冒 TPM 对 m 进行 了 签名 。 

© WR bsn— | , T 38 V;: H;/M; 已 经 对 m 进行 了 签名 。 

© WR bsnz |.T HHA 互 ,/M; 是 否 已 经 用 参数 bsn 和 cnt 对 消息 进行 了 签名 。 如 果 
是 ,T 在 它 的 跨 域 假 名 数据 库 中 查找 对 应 的 假名 了, 如果 不是 ,将 随机 生成 一 个 假名 
PER (0,1)^ , T HAV; 假名 为 P 的 平台 对 消息 m 签名 。 

该 理想 系统 模型 具有 以 下 安全 特性 。 

COD 不 可 伪造 性 ,可 信 计 算 平台 要 对 消息 m 做 跨 域 签名 ,必须 满足 条 件 : TPM 的 参与 ; 
平台 本 身 必须 是 Passport 和 Visa 群体 的 成 员 ;TPM 不 是 假冒 的 。 

(2) 匿名 性 , 跨 域 签名 都 是 通过 假名 P 进行 的 。 


16.4.3 Bi DAA 协议 


1. IDAA-IssuePassport 协议 
该 协议 是 在 执行 完 DAA-Join 协议 ,也 就 是 可 信 计 算 平 台 得 到 DAA 颁发 者 (DAA- 
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Issuer) 的 签名 之 后 执行 的 。 如 果 可 信 计 算 平 台 希 望 与 其 他 域内 的 验证 者 交互 , 先 要 生成 域 
内 的 护照 证 书 (Passport Certificate) ,该 护照 证 书 可 以 与 多 个 不 同 的 签证 证 书 一 起 使 用 。 
设 护照 颁发 者 (Passport Issuer) 的 公 钥 为 
PKp = (np En » gp1 shri » Spr» Zp Rp + Rpn » Rpt Rp Ry) 
BCC 方案 中 的 DAA 颁发 者 的 公 钥 为 : PK Gs g' gh S, ZR, Ri). 
主机 (Host) 首 先 计算 sm 二 (Hr(1 || bsng 277" mod 了 ,其 中 bsnr 是 护照 颁发 者 的 长 
期 名 (long-term base name), 
协议 中 TPM 的 输入 是 (np, Rew » Ren » Sms DD Ca,Ro,R,S,o,P), Host 的 输入 是 
(nr g^ Epi sie Spr Zr Rew » Rpn Roo Ron » Ren mg gh S. ZR, GR my. 发 放 护 
照 证 书 的 具体 执行 过 程 如 下 。 
(1) TPM 选择 vn € x (0,1)^^ ,使 用 秘密 消息 fo A 计算 Un — R^ RA Sip mod ng, 
Nm 一 5 用 + mod I, Host 选择 w,rER {0,1)“ +4 ,并 计算 
Uno = UnRiz"mod n Tı = Ah*mod nm. T; = g"h'(g')'mod n 
JEF ,Ident= HCEKPub || Platform-name || random) mod p, random 是 随机 选择 的 数 , Host 
存储 Ident 的 值 。 将 Union A Nm 发 送 给 护照 颁发 者 。 
(2) 执行 下 面 的 零 知识 证 明 协议 : 
SPK (Cf, , f, suse, wr Ident, vg) :Z = T; Ré Rf Sh ~“ (mod n) A 
T; = g"h'Cg')' (mod n) A 1 = T;*g"h*(g "(mod n) A 
Ne = Shots (mod I) A Uros = Rf RA Sv RW; (mod n) A 
fofi € (0,1). A (e— 2%) € (0,1) 0 A 
vg€ (0,1)^* 5*7 ) (n; || n) 
通过 执行 该 零 知 识 证 明 协议 ,可 以 向 护照 颁发 者 证 明 。 
(D TPM 拥 有 DAA 颁发 者 的 签名 。 
Q Usa 中 的 fo. fi 与 DAA 签名 中 的 fofi 是 一 致 的 。 
具体 的 协议 过 程 如 下 。 
(D TPM 随机 选择 整数 
rp or 有 Er (0,1), n, Ep (0,1), r, Er (0,1) 


并 计算 


Us Rx RA Su mod mp» Fs -—r;,-r;2'modp 


No =SymodP, OT, = RY Rn S>mod n 
将 Ti Ns Dn RZA Host, 
© Host 随机 选择 
Tus ER (0,1) 8, r, Eg (0,1) 9, re ER (0,1) 6), 
Tw oT ER (0,1), rey tee ER (0,1) 655) 
并 计算 
T, =T,Teh mod n, T, = gh Cg) mod n, 


T= Try" gh Cg')'*mod n. Ui = OR mod np; 


E RERE 理论 与 实践 


@ 护照 颁发 者 选择 一 个 随机 数 n; € (0,1) RHF Host. 
@ Host 计算 
cy =H (nn || Rew || Ren ll Rer ll Spr | Uros ll Not ll Cis ll Nor Il ni nll gl 
g h ILR IR ISI ZIITIel eC l T lC. ll T; | T2» 
将 o, 发 送 给 TPM,TPM 随机 选择 n € (0,1) ,计算 c— Hcy || n2 。 
© TPM sj, =r te 让 一 站 十 fins mra te vins m roc ER 
TE Cc imi s SooS 9 85, OSA ) 给 Host. Host 计算 


Stent = Tuem +c ° Ident, s =r, +c o (e— 24), se = rae. C), 


Sw = fw FCW, Sw=Tewto*wees s, 一 六 十 cs。r， Sa = Ta torerr 
将 以 下 的 信息 发 送 给 护照 颁发 者 : 
Cen, 980 eS 987, 984, 9 Sdent Sens Tao TT E O See VSS) 


© 护照 颁发 者 计算 以 下 的 信息 : 
a 4 下 A. ^ EE 
U = Ux, Ry R2 Si" S"" mod ns Nn = Ns 6/ ^ mod P 
Ti 一 gc pude" Ry Rin Ssh» mod n, T,= Tz] g'« Cg) mod n 


T= Tre gre (g'Y'« hs mod n 
验证 
c C HG m || Rev ll Ren ll Rew ll Sn ll Uses ll Nor | Usos ll Nm ll ms | nll gl 
g MANR IIR IISIZI»lIPIel cll Cl TO ll CT. HET: ll TO Ind 

(3) 护照 颁发 者 检查 sw 三 (Hr(1 || bsn) ) emod D) ,根据 已 知 假冒 的 fo fi RAE 
Nosh tae (mod T), 

(4) 护照 颁发 者 进行 签名 操作 ,颁发 匿名 护照 证 书 , 在 证 书 中 编码 以 下 信息 : D 有 效 日 
期 编码 PvalidDate€ {0,1)4; 加 颁发 者 标识 符 编码 PIName € (0.1) ,选择 vn € [2^7 , 
2^], em € [2^7 2471-2471 ], E An = (Zor / (Ug REM REIS SH) Ven ,发 送 CAmyem， 
vn »PvalidDate, PIName) £i Host. 

(5) Host 将 vp Rik 4H TPM, TPM 计算 os = vnd vn. TPM 存储 vn. Host 存储 
(Apr sen Ident) ,得 到 的 (Am ser s ver) SE X} Cf». fi » Ident, PvalidDate, PIName) 的 CL 签名 。 
把 (fo + fi » Ident ,PvalidDate, PIName,Apy sep svr) PRH IP RIEP 


2. IDAA-IssueVisa 协议 

该 协议 是 一 个 域 间 协议 ,是 签证 颁发 者 和 可 信 计 算 平台 之 间 执 行 的 一 个 协议 ,通过 该 协 
议 来 颁发 签证 证 书 。 

设 签证 颁发 者 的 公 钥 是 

PKva = (nva «g Va »8va shva +Sva »Zva +Rvao «Ri Rvaz s Rvas s Rus +Rvas) 

gva = (Hp (1 || bsnya)) 7? mod 本 ,其 中 bsnva 是 签证 颁发 者 的 长 期 名 (Long-term 
base name), HNP TPM 的 输入 是 (np Row + Rem,，S,p,T) + Host 的 输入 是 (nva,gVa s gva» 
hva s Sva s Zya «Ruso +Rvai ,Rvaz s Ras Ry ,Rvas，Y,p;T)。 协 议 执 行 过 程 如 下 。 
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(D Host 选 择 随机 数 ko, kıs uva € (0,1) , BOL ETE wm ,rp EE {0,1)“14 ,并 计算 
Uva =R RA, Siva Ry; mod nva » Tm — Anh; mod nm» Teo =e ei hj Grm)? mod ny; TPM 
计算 Nva 一 5 和 mod P, 
(2) 发 送 Uva ,Tpn » Tre » Nvya+PValidDate,PIName 给 护照 颁发 者 。 
(3) 执行 下 面 的 零 知 识 证 明 协议 
SPK{ (ko, ki vn sen wn » rp1» Ident ,vya «fo» fi): 


Za = T n RA Rh RE" Rb; Ep mod np) A Tre 


= gu hg rn)" (mod n) A1 

= Ty? gi n ht n (ry) (mod ng). A Nva 

= shh” (mod D) A Uva 

= Ri RY Siva RU (mod nya) A for fi € {0,1} torent? } 


VAo S val VÀ 

该 零 知识 证 明 协 议 的 过 程 与 ITDAA-IssuePassport HI AY 58 (2025 28 01. YE Wo As BEER 
执行 该 零 知 识 证 明 协 议 可 以 向 签证 颁发 者 证 明 。 

(D 可 信 计 算 平 台 拥有 护照 颁发 者 签名 的 证 书 。 

Q) Uva 中 Ident 和 护照 颁发 者 颁发 的 证 书 中 的 Ident 是 一 致 的 。 

(4) 签证 颁发 者 检查 s,、 二 (Hr 1 || bsny,)) emod PAIN vm f^? ) (mod D). 

(5) 签证 颁发 者 颁发 签证 证 书 给 申请 者 ,在 证 书 中 编码 

(D 签证 有 效 期 限 编码 VvalidDate€ (0.1). 

@ 签证 颁发 者 编码 VAName€ (0,1), 

@ 用 途 、 签 证 的 等 级 编码 levelE {0,1}4 ,该 属性 说 明了 签证 的 用 途 ,如 是 商务 签证 、 个 
人 签证 等 。 

计算 Ava = (Zya / CUR RYN Re Sp ^, 

BRE (Ava «eva s Vya » VvalidDate, level, VAName) Zi Host, 

(6) Host 计算 vya — vva d- vva ,得 到 的 (Ava seya ,vva) 是 对 (ko，, ki Ident, VvalidDate, 
VAName,level) 的 知识 签名 。 把 (k。，, kı» Ident, VvalidDate, VAName, level, Aya seva + Uva) 
称 为 签证 证 书 。 

3. IDAA-Sign 操作 

IDAA-Sign 是 一 个 签名 操作 。 只 有 通过 IDAA-Sign 签名 操作 ,可 信 计 算 平台 才能 向 不 
同 域 的 验证 者 匿名 地 证 明 自己 的 身份 。 有 具体 步 又 如 下 。 

CD TPM 计算 Ny—65*^*' mod 卫 , 发 送 Ny 给 Host。 其 中 sv 和 验证 者 相关 。 

(2) Host 随机 选择 wer rs € (001)^75 ,计算 


Tm = Arih mod np Tp = ger hg (gm) mod ny 
(3) Host 随机 选择 wva rva € (0.1)^7^ ,计算 
Tyai = Ava hyY^ mod nya Tvas = gyy hy (Cg va) v^ mod nva 


(4) 进行 知识 签名 。 


SPK(Cf, + fi » Upi sepi pi srpr s Ident., ko s ki svvasevasWva srva): 


dos RERE 32 $6 25 S0 PR. 


Tre = eet he! (gh )'" (mod np) A Zr 
= TAR Roh Ree Rm Rm Seth" (mod nm) A 1 
= Ty gR pA (gy) (mod ng). A Tv: 
= By hye Cevada (mod nva) 人 (Zya/ GG RA RV) 
= TA RG Ryan Rens SWA h^ (mod ny) A 1 
= TA aya vA AYA Cga) Ya Cmod nya) 人 
forfisIdent,k,,k, € (0,1)? } (n, || m) 
具体 的 知识 签名 过 程 不 再 袭 述 , 可 以 理解 为 并 行 地 执行 了 两 个 DAA-Sign 操作 ,最 后 得 
到 的 签名 是 
o = (Sv , (Trn » Tre) + (Tai » Tvaz) »(PvalidDate, PIName) , 
(VvalidDate, VAName, level), Ny scs n,» 


CS oen $57, 954, rey Pep Boy Sp, rng ry t 


Sky S1, 9 SvA Seyh *Seypeya Soy, ySevAwvA rya *Seyarya D) 

该 知识 签名 能 够 说 明 以 下 几 点 。 

CL) Host/TPM 拥有 护照 颁发 者 颁发 的 护照 证 书 , 并 且 签 名 时 需要 TPM 的 参与 。 
(2) 主机 (Host) 拥 有 签证 颁发 者 颁发 的 签证 证 书 。 


(3) 这 两 个 证 书 绑 定 的 是 同一 个 可 信和 计算 平台 (通过 Ident SARE). 


4. IDAA-Vefify 操作 

IDAA-Vefify 是 一 个 验证 操作 。 验 证 的 公 钥 为 

Cnr ?8PIT "En shore Rey s Rei Reo Re » Ru, Si» Zm YID) OA *EVA EVA shyasRyao+ 

Rym +Ryaz ,Rvas» Rva » Rvas» Sva s Zva SY Dp) 

具体 步骤 如 下 。 

(1) 验证 者 验证 (PvalidDate,PIName), (VvalidDate,VAName,level) 参 数 合法 性 。 

(2) 验证 者 计算 
Tm = Za Ti 


Hed pp pe PralidDate PPIName Qop j 一， 
fy Rif Rřidem RPwldDate e G^ A prs 
RERA Ren Re Rew Sm hy'n*n mod np. 


~ xo vus BT oos og ~ ag, ty OF 
Tr = Trigg hy (gm) mod ny» Ny = NS ' mod I, 


了 m ^r "epit | WEN 
Tn Taft JE ho PI (g^) "ere mod np. 


` "m 
Tym = Tying Y^ hoy Cg vA)*v, mod nya « 


"E * E 
a s) VvalidDate VAN: ^v, ey A w, 
vA RH R^ RR Rym Rya SV hys mod nva» 


Tw = Za T, 


VAL VAD VAl VA2 ~~ VA3 VA 


^ EP F i 
VASVA h VAVA (os )Fevarva mod nva 


T steel) 
= vA 
Ty — T; Eva VA 


(3) 验证 
c = ACA On I Rm ll Ren ll Rm I | Reis ll Reu | Sn Il Zn Il nva Il BVA Il EvA 
I] hva || Rvao | Rvar | Rvaz || Rvas | Rvas ll Rvas ll Sva ll Zva ly ll Tl 
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pl sv | Nv I Nv ll Ten ll Tre) ll (Don I Tec ll Toe) ll Cas ll Tva) ll 
(Tyas I Tyre ll Ta Hm, lio 
NysSy É< y Dos, 05, € (0,1) 65, 
Sq Seya € (0,1) , Ny E (eft^ ) (mod T) 
16.4.4 BI DAA 协议 安全 性 证 明 


定理 16.5 E<y> P H DDH 假设 和 强 RSA 假设 下 ,IDAA 方案 安全 地 实现 了 一 个 
跨 域 的 直接 匿名 证 明 系 统 。 

16. 4. 1 小 节 给 出 了 跨 域 DAA 的 理想 系统 模型 ,下 面 将 在 理想 系统 中 构造 模拟 器 S。 
模拟 器 S 将 在 理想 系统 中 代表 被 攻陷 的 参与 方 与 交互, 并且 模拟 现实 系统 中 的 攻击 方 
A. tila S 在 本 地 对 A 进行 黑 盒 访问 (Black-box access) ,获得 A 在 协议 的 真实 执行 中 发 
送 的 信息 ,然后 提供 给 A 所 期 望 接收 到 的 信息 。 

文献 [32] 中 给 出 了 BCC 方案 的 详细 证 明 过 程 ,由 于 我 们 的 方案 构建 在 BCC 方案 的 基 
础 之 上 ,因此 在 证 明 过 程 中 ,证 明 IDAA 方案 的 安全 性 并 不 困难 ,为 了 节省 篇 幅 , 文 献 [32] 
中 已 经 证 明 过 的 内 容 将 不 再 歼 述 。 本 小 节 将 重点 介绍 IDAA-Sign/Verify 的 模拟 ,在 下 面 的 
讨论 中 ,沿用 了 文献 [ 32] 中 使 用 的 标记 ,大 写字 母 表示 该 参与 方 没有 被 攻陷 (Corrupted) ,小 
写字 母 表 示 已 经 被 攻陷 。 


1. IDAA-Sign 的 模拟 

在 主机 被 攻陷 而 TPM 没有 被 攻陷 的 情况 下 ,被 攻陷 的 主机 请 求 诚实 (Honest) 的 TPM 
对 消息 进行 签名 。 这 时 模拟 器 S 得 到 攻击 方 A 发 送 给 诚实 的 TPM 的 消息 ,要求 TPM M, 
对 消息 m 做 签名 。 模 拟 器 S 将 执行 如 下 操作 。 

C1) 如 果 带 有 计数 器 cnt; 的 TPM M, 没有 成 功 地 执行 DAA-Join 操作 或 者 IDAA- 
PassportJoin 和 IDAA-VisaJoin 操作 ,模拟 器 将 拒绝 A 的 请 求 。 

(2) D 模拟 器 从 A 处 得 到 <, 在 记录 中 查找 sc, 如 果 s 存 在 ,将 找到 对 应 的 Ny ,否则 随机 
选择 一 个 NvE<c>. 

© 模拟 器 S 发送 Ny AA. 

(3) S 如 下 伪造 TPM 的 签名 操作 (代表 TPM 执行 下 面 的 操作 ) 。 

(D S 随机 选择 整数 

sq, ER (0,1) s, ssy ER (0, 1} 
Q S 随机 选择 cE (0,1), 
@ SHH 
Tw, = Zi R^ RS mod ns. 

Ny— Ny £^ "^" mod PB Ny, Ta A, 

®© SHA 处 接收 到 c* ,随机 选择 ,完善 S 的 随机 预言 机 (ci || os || m 与 c 对 应 ) ,使 得 
c— Ho, || m || m). 

(4) S 在 理想 系统 中 控制 互 ,代表 H: 向 T 请 求 诚实 的 TPM 对 m 签名 。 同 时 发 送 给 
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A 以 下 消息 : cn 954, 955, Suo 


2. IDAA-Verify 的 模拟 
在 主机 和 TPM HARA CHO OT FT A S( 作 为 理想 系统 中 的 验证 者 ): 可 信 
计算 平台 H;/ M; 已 经 使 用 bsn 对 消息 m 做 了 签名 。 在 这 种 情况 下 ,S 需要 模拟 在 现实 系统 
中 与 A( 作 为 现实 系统 中 的 验证 者 ) 交 互 , 伪 造 跨 域 签名 ,S 执行 以 下 操作 。 
(D © WR bsn 一 上 ,模拟 器 S BL Ec E y Nv€ a. 
@ 如 果 bsnze | S 在 跨 域 假名 数据 库 记 录 中 查找 P, 如 果 P 存在 ,查找 对 应 的 5、Nv， 
如 果 没 有 找到 ,计算 a 二 (Hr(1 || bsn)) mod P, Ny € à. 
© S 随机 选择 Ton © r <hr> , Tee Er<gn> ,Tv Er<hva >, Tva Er<gva>. 
(2) S 如 下 伪造 签名 : 
Q S 计 算 。 
Sop ER (041) ^7, os asy asy 257, Er (0,1) 7m, 
Sm ER (0,1), si Er (0,1) H9, 
Sog ER {0,1} 94 " eas Er {0,1} 49476, " 
Sm ER {0，1)4+24+ , Siam ER (0,1 pt4 tat Sy ER {0,1} 4taten ， 
Ss ER (0,1) T Ci {0,1} t24 +4 , 
Er (0,1)4 247606 " Soon Er (0,1)4 774568 四 
Soarva ER (OL 7 9 8 VO suu, ER (0,1) t 
Q S 随机 选择 cE (0,1), 
© SHH. 


ms 4 a on 
yart fo pfi põlde pPvalidDate PPIName Qi, pi, 
Tm = ZW T, Rau Ron Rov” Re ^ Rm SP hp" mod npr 


eva wyA 


T ew < E ci p3 
Tm = T 8p ha id (gp) mod nps 


4 
a -6, te) 5 A ys 
Tre=T pu n hm Cg p) er mod npr» 

E 


N= Nace thee d T = T Sova peva tt 1 va d 
Ny = NvS mod I, ve = Ty gua hyn (gva) Y^ mod nya, 


4a 

= Log qu, rat fk p'h p'Her p VeilidDite PVAName plevel cs. iw 

Tym = ZvaT*va RyRy Ryaz Rvs Roa Ras Sey uA" vA mod nva» 
EM 


一 ee， eo 


Hu e p. "AC "ANO 
Tui T VA g w^ AM V^ (gya ) “YAVA mod nya 


VA 
® S 随机 选择 ,完善 S 的 随机 预言 机 ,使 得 
€ =H(H Gs || Rew || Ren || Rew || Rew ll Ser ll Zei | nva ll gva ll Nv | Ny 
l| gva || hva || Rvao ll Rva || Rvaz | Rvas | Rvas ll Sva ll Zva ll ll 


rl el ç ll (Ten I Tre) Il (Tm y Tm ll Tre) ll (Tva I Tvaz) 


I (Tym I Tus ll Tv») || m || m) 
© S 将 得 到 的 签名 o 发 送 给 人 A 


v o Tena te Ngisi 
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(PvalidDate, PIName) , (VvalidDate, VAName, level) , 
(sw 9 Stdent 9 Sf Sf, 9 Sepp? Seprepy * Sup 9Scplmpl 9Srpl yScplrpl ? 
Sky 9 Sky Sova *Seva » SevAeva ? Suva *Seyawya ?Srva ?Sevarva 2) 

最 后 ,证 明 环 境 不 能 区 分 自己 是 运行 在 现实 系统 中 还 是 理想 系统 中 ,也 就 是 证 明 现实 
系统 和 理想 系统 中 的 输出 参数 是 计算 不 可 区 分 的 。 在 模拟 的 过 程 中 S 扮演 了 现实 系统 中 
的 不 同 角色 ,模拟 器 S 在 模拟 过 程 中 选择 的 参数 (输出 ) 有 

Ny ,Ny, Tm Toii ,TvA ,Tv 9 Supp 9Sident 9S10 9 Sf, 9 Sepy ?Seprepl ? Sup, 9 Sepywpy 9 


rj ?Sepyrpy *VA ，SevAevA *VAT'VA ?SrvA ? SeyArvA 

必须 证 明 这 些 参数 值 的 统计 分 布 与 在 现实 系统 中 具体 操作 执行 时 指定 的 相应 参数 值 的 
统计 分 布 是 计算 不 可 区 分 的 。 不 难 分 析 可 以 得 到 ,两 者 确实 是 不 可 区 分 的 。 

在 跨 域 DAA 方案 中 , 跨 域 签名 的 长 度 及 计算 效率 是 衡量 方案 性 能 的 重要 指标 ,我 们 也 
分 析 了 该 方案 的 签名 长 度 和 各 个 阶段 的 计算 效率 ,同时 通过 实验 验证 了 该 方案 的 有 效 性 , 详 
细 分 析 可 参阅 文献 [41]。 分 析 和 实验 验证 表明 ,为 了 在 多 信任 域内 实现 匿名 通信 , 跨 域 
DAA 方案 相 比 原始 的 BCC 方案 ,计算 开销 有 所 增加 ,签名 长 度 增 加 了 近 1 倍 ,但 是 其 中 


TPM 的 计算 开销 并 没有 显著 增加 ,增加 的 计算 开销 主要 由 主机 完成 。 


ISk, ISk, ySovA PS EE 


16.5 子 群 隐私 增强 保护 方案 


在 BCC 方案 中 ,其 匿名 性 机 制 是 建立 在 基 名 (Base name) 的 基础 上 ,BCC 方案 为 基 名 的 
选择 提供 了 两 种 选项 : 如 果 基 名 是 随机 选择 的 ,那么 任意 两 次 生成 的 签名 都 是 不 可 关联 的 
(Unlinkable) ;如 果 基 名 是 由 验证 方 选 定 的 ,生成 的 签名 是 可 以 关联 的 ,在 某 一 个 给 定 的 时 
间 内 ,如 果 基 名 没有 变化 ,那么 对 于 验证 者 来 说 在 该 时 间 段 内 签名 是 可 关联 的 ,可 信 计 算 平 
台 就 没有 隐私 性 可 言 。 在 本 节 中 将 这 种 匿名 性 机 制 称 为 “验证 者 相关 的 完全 或 无 匿名 性 ”。 
无 论 是 BCC 方案 还 是 HS 方案 ,都 采用 了 这 种 “验证 者 相关 的 完全 或 无 匿名 性 ”。 针 对 这 种 
匿名 性 机 制 , 我 们 提出 了 更 加 灵活 的 匿名 性 机 制 , 称 为 子 群 隐 私 增强 保护 方案 。 其 特点 是 : 
子 群 内 的 成 员 签 名 不 仅 能 证 明 平 台 是 可 信 计 算 平台 ,还 能 证 明 该 可 信 计 算 平 台 是 属于 某 个 
特定 的 群体 ,该 方案 为 可 信 计 算 平台 在 小 群体 如 局 域 网 内 的 认证 应 用 提供 了 解决 方案 。 


16.5.1 子 群 隐私 增强 保护 安全 模型 
子 群 隐私 增强 保护 方案 的 应 用 基本 框架 如 图 16. 9 所 示 。 


子 群 管理 员 验证 者 
DAA-Register ^. DAA-Sign/Verify 


pg | 人 oa | 可 信 计 算 平台 
DAA RS (主机 /TPM) 


图 16.9 带子 群 隐 私 增强 保护 的 直接 匿名 证 明 方案 框架 


上 
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子 群 隐私 增强 保护 方案 是 在 直接 匿名 证 明 方案 的 基础 上 构建 的 ,除了 与 DAA 有 相同 
的 参与 方 外 , 子 群 隐私 增强 保护 方案 增加 了 一 个 参与 方 : 子 群 管理 员 。 该 参与 方 负责 管理 
子 群 成 员 的 加 入 和 删除 。 

定义 16.1 带子 群 隐私 增强 保护 的 直接 匿名 证 明 方案 (简称 SDAA) 是 由 以 下 几 个 参 
与 方 构成 的 签名 方案 : 颁发 者 (Issuer) 、 子 群 管理 员 、 可 信 计 算 平台 和 验证 者 。 它 由 下 面 几 
个 过 程 构成 。 

COD 初始 化 过 程 (SDAA-Setup) : 给 定安 全 参数 1* ,颁发 者 和 子 群 管理 员 产 生 系统 公 钥 
和 私 钥 。 

(2) 加 入 过 程 (SDAA-Join) : 是 可 信 计 算 平 台 和 颁发 者 之 间 的 一 个 交互 式 协议 。 通 过 
这 个 协议 ,可 信 计 算 平 台 得 到 成 员 证 书 和 成 员 私 钥 。 

(3) 注册 过 程 (SDAA-Register) : 是 可 信 计 算 平台 与 子 群 管理 员 之 间 的 一 个 交互 协议 ， 
通过 这 个 协议 ,可 信 计 算 平台 申请 成 为 子 群 的 一 个 成 员 , 并 发 送 相关 注册 信息 给 子 群 管理 
员 , 子 群 管理 员 验 证 相关 信息 ,将 该 成 员 加 入 相应 的 子 群 ,并 更 新 子 群 成 员 。 子 群 管理 员 维 
护 两 个 列表 ,分 别 为 子 群 成 员 有 效 列表 和 子 群 成 员 撤销 列表 。 

(4) 签名 过 程 (SDAA-Sign) :可 信 计 算 平台 使 用 成 员 证 书 和 成 员 私 钥 对 给 定 的 消息 做 
匿名 签名 。 

(5) 验证 过 程 (SDAA-Verify) :验证 者 验证 签名 的 合法 性 。 

(6) 成 员 更 新 过 程 (SDAA-Update): 子 群 管理 员 执 行 的 操作 ,更 新 子 群 成 员 有 效 列表 
和 子 群 成 员 撤 销 列 表 。 

SDAA 方案 必须 满足 以 下 安全 特性 。 

(1) 不 可 伪造 性 (Unforgeability): 有 效 的 成 员 证 书 只 有 TPM 和 颁发 者 通过 加 入 过 程 
得 到 ,只 有 拥有 成 员 证 书 的 可 信 计 算 平台 才能 对 消息 m 做 匿名 签名 。 

(2) 匿名 性 (Anonymity) : 除非 TPM 出 现在 撤销 列表 中 ,否则 不 能 通过 签名 确认 签名 
者 ( 即 可 信 计 算 平台 ) 的 身份 。 可 信 计 算 平台 的 签名 不 仅 对 于 颁发 者 是 匿名 的 ,对 子 群 管理 
员 也 是 匿名 的 。 

(3) 不 可 关联 性 (Unlinkability) : 验证 者 确定 两 个 不 同 的 签名 是 否 来 自 于 同一 个 TPM 
在 计算 上 是 困难 的 。 

SDAA 方案 构建 在 BCC 方案 的 基础 上 ,与 BCC 方案 不 同 的 是 ,增加 了 一 个 子 群 管理 
员 ,并 且 增 加 了 注册 过 程 和 成 员 更 新 过 程 , 签 名 过 程 也 与 BCC 方案 有 所 不 同 ,在 下 面 给 定 的 
方案 描述 中 ,与 BCC 方案 相同 的 过 程 将 不 再 袭 述 。 


16.5.2 SDAA 方案 I 


SDAA 方案 I 的 主要 思想 是 : 子 群 管理 员 维 护 一 个 成 员 有 效 列表 Ews 和 成 员 撤销 列表 
Esa ,首先 子 群 成 员 通 过 SDAA-Register 过 程 加 入 子 群 ,在 签名 时 , 子 群 成 员 A 做 知识 签名 
WE {A :A€ Ea 人 A Eu). 

SDAA 方案 中 与 BCC 方案 中 相同 的 过 程 /协议 在 本 节 中 就 不 再 歼 述 ,在 这 里 主要 讨论 
与 BCC 方案 不 同 的 过 程 /协议 。 

1. 注册 过 程 (SDAA-Register) 

可 信 计 算 平台 发 送 基 名 -假名 对 <s, NN 二 给 子 群 管理 员 , 其 中 N 是 通过 可 信 平 台 模块 
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的 秘密 三 计算 出 来 的 (N 一 sfmod D) , 子 群 管理 员 对 可 信 计 算 平 台 进 行 认证 ,确认 该 基 名 - 假 
名 对 是 由 符合 条 件 的 可 信 计 算 平台 产生 。 子 群 管理 员 维 护 两 个 列表 : 基 名 -假名 对 有 效 列 
R Eas ,初始 时 Ew 一 {); 基 名 -假名 对 撤销 列表 Es ,初始 时 Ea 一 {}。 具 体 步骤 如 下 。 

CD 可 信 计 算 平台 利用 TPM 持 有 的 秘密 消息 fiA N: =o! mod 了 ,并 将 二 元 组 
c. NN; 二 发 送 给 子 群 管理 员 。 

(2) 可 信 计 算 平台 与 子 群 管理 员 执 行 零 知识 证 明 交 互 协 议 PK (f; : N:= gf mod D) ,证 
Hj —c. NN; 二 是 由 可 信 计 算 平台 产生 的 。 

(3) 子 群 管理 员 将 二 元 组 二 s,, Ni > HLA Ew 列表 ,形成 新 的 基 名 -假名 对 有 效 列表 
Ela = Eu U (e N, Pi>} — (ge + Ni Py mme Ni,P;>…<s,, Nns P, >) JE P, 
是 成 员 在 子 群 中 的 标识 信息 。 


2. 签名 过 程 (SDAA-Sign) 
首先 可 信 计 算 平 台 与 验证 方 协商 选取 Ew 列表 中 几 个 成 员 作为 其 匿名 隐藏 的 对 象 , 记 
为 Swa ,可 信 计 算 平台 代表 Sa 中 的 成 员 签名 ,同时 在 Es 中 选取 集合 Sau ,证明 可 信 计 算 平 
台 不 在 集合 Sal 中。 该 签名 过 程 是 对 BCC 方案 的 DAA-Sign 进行 了 扩展 ,分 为 两 个 步骤 ,第 
一 步 是 进行 BCC 方案 的 DAA-Sign 操作 ,具体 的 签名 可 以 参见 16. 3 节 或 文献 L[32]; 之 后 进 
行 第 二 步 的 证 明 ,具体 步 又 如 下 。 
COD 首先 从 有 效 列表 E us PFE 上 个 基 名 -假名 对 (验证 者 和 签名 者 协商 建立 ), 记 为 
Sa ,其 中 Ni =f Nim ，… ,NN, 二 Gf; ;并 在 撤销 列表 中 选择 Sí CER. 
(2) 可 信 计 算 平台 证 明 TPM 持 有 的 秘密 了 满足 
{f:f € Sa = (Nov < NS >} AN 
f € Su = (< Ni SD NOS. 
为 了 叙述 方便 ,签名 操作 分 为 两 步 (两 步 可 以 合并 一 起 执行 ): 第 一 步 执 行 BCC 方案 的 
DAA-Sign 操作 ,得 到 签名 oi ,第 二 步 执行 下 面 的 知识 签名 得 到 oss 
o —SPK(f:(ON; 2 ci mod P V = V N, =Sfmod D) A 
Ni (G1)fmodT A = A Niz (5) /mod D) Gn) 
不 失 一 般 性 ,假设 N: =c mod 了 ,其 具体 的 签名 操作 步骤 如 下 。 
(D 证 明 者 选择 mm ,us ie wi tma ua yt 计算 
t = Ni™S? mod Pye sti 一 Ne ena modT,t; = €? mod T. 


ta = Na” Sm mod P,e sti = Ni™ Sr mod I; 
Q 4 r=u, HF j=l, t, MAAF E AFRE. 
a。 可 信 计 算 平 台 选 择 rj € & {0,1)%。 
b. 可 信 计 算 平 台 计 算 承诺 值 
U; = (6/)*i mod T.V; = (N,)*i mod .W; = Uf mod P 
c. 可 信 计 算 平 台 选 择 r; Er (0.1)^. 
d. 可 信 计 算 平台 计算 
U, = (6)7 mod r.V, = (Nj) mod TW, = Ujmod r 
@ 计算 
e —HGi lE Ni e GIN YING Wee E NL aa， 
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We EO, EV. ELA IE E OLI VL IE, ooo 
图 $ c —wi 6a Swi =e Gad ed dena Hei He hee) scit cues 
GEW. 
© WF jS o RE GEROERSER. s; rer; s rcf. 
© si—9 ensis vitcif sf Viel ees Ue 
@ 得 到 的 签名 为 
o = (U, Vi Wy sU, VW, cy otto 951 988 9 Sp 9 S984 tts.) 
(3) 最 后 得 到 签名 o= (oi +02). 
3. 验证 阶段 (SDAA-Verify) 
首先 利用 BCC 方案 的 DAA-Verify 过 程 验证 o 的 合法 性 ,os 的 验证 过 程 如 下 。 
(1) 计算 


Ns NM (16-15) 
(2) 对 j 二 1,…,t, 验 证 者 验证 
D U,V; WÈ {0,1}* ys, E+(0,1)" ,VW,。 
Q 验证 者 计算 


Ù; =U; (ç [)"mod PV; = V;* (N’;) mod PW; 
=W;‘Ujmod D (16-16) 
检查 以 下 的 等 式 : 
& et te, SAG WN IE E SN or Nil sl 
NG Mise IÈ a IVa Ws IE ELO. EV. IW, Il md 


4. 成 员 更 新 (SDAA-Update) 

管理 员 如 需要 撤销 某 个 成 员 二 s,, No P;>, 将 其 从 列表 已 中 删除 即 Ea = Ea 一 
(Ks N: P>) ,并 将 其 加 入 Eu — Ea U {<E N: P>) o 

在 SDAA 方案 I 中 维护 的 有 效 列表 Ews 和 撤销 列表 Es 可 以 在 公 网 上 发 布 (由 某 个 CA 


签名 认证 ) ,从 而 保证 其 真实 性 。 
引 理 16.1 SDAA 方案 I 中 的 签名 所 基于 的 交互 式 协议 是 诚实 验证 者 关于 知识 f B 
统计 零 知 识 证 明 。 


证 明 关于 该 协议 的 零 知 识 证 明 是 比较 直观 的 ,下 面 主要 证 明 该 协议 是 一 个 知识 证 明 
协议 。 也 就 是 要 给 出 一 个 关于 所 证 明知 识 的 提取 器 (Knowledge Extractor) 。 假 设 存在 一 
个 知识 提取 器 能 回 绕 调 用 (Rewind) 协 议 中 的 证 明 者 。 证 明 者 发 送 U; ,Vj;,W,; ,DU,,V,,W;， 
j 王 1,…,t ^ne, IER HEP VAW; f= Leer 为 了 响应 挑战 值 ,证 明 者 响应 
Sot eSeeSoSt ott oso OUT LE BERG c Ac. TEA A Sa STS oS MAE TCA 

QU Vi Wi D, V. Wi Wt AW, oth veers 
LC ott C Spots 9595} ens) 

(QU, Vi ,W, ,U, , V, Wi ,--U,, V, We D, V, Wy tuens 
pU ES 


其 中 十 c 十 … 十 c 一 ccf 十 c 十 … 十 c 一 c ,提取 出 知识 f。 
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由 于 方程 (16-15) 和 式 (16-16) 中 的 等 式 成 立 , 因 此 有 
Na €f = Ni ei Ns ef = NE eios NY e = Ni oH (16-17) 
Ui*(60^ = Ui* O^ VNG) = Vi (ND Wr Ui = Wi UE s, 


UEN — U; G,55,V.CND^ — V (ND5,W;U; = WU (16-18) 
假设 
Ac =c—c',Acy € —6) 77A = Ce — Chs 
As, = sı — 511 As = 5j— $4575 


As, Si — 5,5 As s—5,As,= si-F 
Ash = sj— $5 AS = siS, 
考虑 等 式 (16-17) 和 式 (16-18) ,变换 得 到 
NR = 8 ee NS = ON es NI = CN ,UY = (GS, 
(NDS = VE ,WY = UM, j= 1,,t 
S &,=As;/Acmod P, j=1,; = ,t, f= As/Ac= As; /Ac:mod 了, 并且 f= As;/Ac; € (As; /Aci ， 
Ass / Ac vtt Asi / Aci ses As;/Ac,} ,得 到 对 于 j= 二 1,…,t， 


GNS =U;, Ni =V,, Ui =W, G) =N; (16-19) 

根据 方程 (16-19) ,得 到 

(6/55 =W, NS = Vj = 1st, 因此 sf =W! N; = VIAE m luat 

BAY Vj AW) j— 1. t BEBE VIA AWS m 1. o ROG NAC)! j=l tL 
就 是 说 ,知识 提取 器 得 到 f (43 GO/ 关 Nj,j 二 1,…,t, 并 且 f € CL Nin 
«S N> HEHA: N TG V VM T GP VN TG). 

定理 16.6 在 一 ”> 群 的 DDH 假设 和 强 RSA 假设 下 ,SDAA 方案 工 实现 了 一 个 安全 
的 直接 匿名 证 明 系 统 。 

WEB] 由 定理 16.4 可 知 ,BCC 方案 安全 地 实现 了 一 个 直接 匿名 证 明 系 统 , 亦 即 满足 不 
可 伪造 性 、 匿 名 性 与 不 可 关联 性 ,而 SDAA 方案 I 是 在 BCC 方案 基础 上 增加 了 子 群 隐私 增 
强 保护 特性 ,由 引 理 16. 1 可 得 ,新 增加 的 签名 所 基于 的 协议 是 一 个 零 知 识 证 明 协议 ,在 随机 
预言 机 模型 下 签名 中 并 不 会 泄露 信息 ,因此 扩展 后 的 BCC 方案 即 方案 工 仍然 满足 不 可 伪造 
性 .匿名 性 与 不 可 关联 性 。 


16.5.3 SDAA JRI 


SDAA 方 案 开 的 主要 思想 是 基于 CL. RME. A A AF REY FE 
加 其 加 入 标记 e; ,成 员 签名 时 需要 提供 e; 在 累加 值 中 的 证 据 w;。 子 群 管理 员 维 护 一 个 成 员 
有 效 列表 Ewa。 撤销 成 员 时 , 子 群 管理 员 从 累加 值 中 删除 对 应 的 es 

l. 子 群 管理 员 的 初始 化 过 程 (SDAA-Setup) 

OD 子 群 管理 员 随机 选择 Ll， 比特 的 素数 p'、q ,使 得 p—2p +1.q=2q 十 1 为 素数 , 令 
n= pq»n 的 比特 位 数 为 4,。 

(2) 子 群 管理 员 选 择 wor gh ER QR m) HERI. 


N 


LS Lid is 32 $625 SO PR. 


(3) 子 群 管理 员 维 护 加 入 成 员 累 加 值 u 和 撤销 成 员 累加 值 ~, 一 个 子 群 成 员 列表 Eu 和 
一 个 子 群 撤销 成 员 列表 Eu ,列表 初始 为 空 。 

2. 签名 过 程 (SDAA-Sign) 

该 签名 过 程 是 对 BCC 方案 的 DAA-Sign 的 扩展 ,分 为 两 个 步骤 ,第 一 步 是 进行 BCC Jr 
案 的 DAA-Sign 操作 ,具体 的 签名 可 参见 16. 3 节 或 文献 [32], 得 到 签名 m ;之 后 进行 第 二 步 
的 证 明 , 得 到 签名 o 的 具体 步骤 如 下 。 

CD. 随机 选择 ww ,ws ,ws Er {0,1}2 ,计算 承诺 值 T m gh ,Ts 一 wh™ ,Ts 一 g™ hs 。 

(2) 计算 知识 签名 : SPK(ei wi yw yws:Ti=g“h™ AT3=g%h™ Nu Teh “™}(m), 
计算 过 程 如 下 。 

© 计算 辅助 值 0, — ew; ,6 — ews ,选择 


Te s Tu Tu, t Tu, 918, So, 


计算 

R,—g«h'«, R, = gh, R, = Tpha, R, = Te gah 
Q 计算 一 五 Cg || h || T, || Ta || Ts ER | R; | Rs IR; I| m). 
@ 计算 


& =r Fei Se ra 十 cuul， Sw, = rw, CW 


ra, + 0; 


1 2 


Tu, 十 crus， Sa ra b) sa 


@ 得 到 的 签名 o; — Cc Ty To Ts ess sa sm Se, 958, 953, ) 0 
(3) 最 后 得 到 签名 o— (0i ,oz ) 。 
3. 验证 过 程 (SDAA-Verify) 
首先 利用 BCC 方案 的 DAA-Verify 过 程 验证 o 的 合法 性 ,os 的 验证 过 程 如 下 。 
计算 
R= g'sha Ty. R= gs hs T; ,R= Ty hu, 
R= TY gh (16-20) 
WHE c HG lA ll Ty || Te lE Ts | Ri RI | Rs || Ri || m). 


4. 成 员 更 新 (SDAA-Update) 

(1) 增加 新 成 员 e; 后 子 群 中 的 成 员 更 新 证 据 w 一 wu , 子 群 管理 员 更 新 累加 值 u= v^ 
mod n, E4,— EwaU (ei). 

(2) 撤销 一 个 成 员 时 (成 员 标识 为 =), 根 据 扩 展 欧 几 里 德 算 法 ,计算 ab 使 得 ae; 十 
bE 二 1, 更 新 成 员 证 据 : us utu 。 

(3) Ea =E a {E} Ei EU (6. 

5]38 16.2. 在 强 RSA 假设 下 , 令 n Æ RSA 模 数 ,给 定 ug € QR), FA g BH 
QR(n) 的 生成 元 ,存在 x,yE Z, ,使 得 g =u" (mod n) ,那么 yle. 

证 明 令 z 和 y 的 最 大 公 因 子 为 r, 即 GCD(Cz,y) 一 ~,' 那 么 根据 扩展 欧 几 里 德 算 法 ,可 找 
到 a.B, 使 得 azr 十 By 二 r, 那 么 g= gO = (ugh) = (eg?) ,如果 yr WBA RAK 
可 以 求 出 g 的 y/r 次 方 根 ,这 与 强 RSA 假设 矛盾 ,又 因为 GCD, y) =r HA yr Bl yle 

引 理 16.3 在 强 RSA 假设 下 ,SDAA 方案 开 中 的 签名 所 基于 的 交互 式 协议 是 诚实 验 
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证 者 关于 知识 ei uw; 的 统计 零 知识 证 明 。 

WEBB 协议 的 完备 性 和 零 知识 性 容易 证 明 ,下 面 证 明 其 合理 性 ,也 就 是 要 给 出 一 个 关于 
所 证 明知 识 e; u; 的 提取 器 (Knowledge extractor) 。 在 交互 式 协议 中 ,知识 提取 器 回应 两 个 
不 同 的 挑战 值 ,得 到 两 组 可 接受 的 值 (T ,Te Ts ees + Sio, + Sey rS 5 293, ACT) + Tos Ts » 
€ Fe, Fy hu 9 Fwy 95a, 32) ;假设 


Ac=€—c, hee =S,,—S,, Am = Sw, 


Sm? Aw 一 So 一 Sm， 


Aw; = $4, — Su,» Adi = Fa — SS Ads = Fo, 
由 式 (16-20) 可 得 


Sa, 


Ri= gh™ Ti = g'sh*s Ti^, 


R= gt: hs Ti = gh his Ty (16-21) 
Rs= Tuh aw = Tigh, 
Ri= Ta gh = T g n hn (16-22) 


由 式 (16-21) 和 式 (16-22) 两 式 可 得 Tf 二 gh , TF = gh hs , Tj — hh u , TH = 


gh ,由 引 理 16.5 可 得 Ac|Ae;,Ac|Arw ,因此 «cam, 


由 于 T= gis pf 和 Tis = gh hè ,可 得 到 gin pets om gants porius AB = anim, 
u TE hhl u= ut A OB, = SEAM (e A ARY = Ss SS 
E 
Ae T, 
Cei u))— Acte o 


定理 16.7 在 二 > 群 的 DDH 假设 和 强 RSA BEFAR IL SEHR T — T 22 HO ELE 
匿名 证 明 系统 。 

WEBB 根据 定理 16.4 可 得 ,BCC 方案 安全 地 实现 了 一 个 直接 匿名 证 明 系 统 ,也 即 满足 
不 可 伪造 性 、 匿 名 性 与 不 可 关联 性 ,而 SDAA 方案 了 是 在 BCC 方案 基础 上 增加 了 子 群 隐私 
增强 保护 特性 ,由 引 理 16. 3 可 得 ,新 增加 的 签名 所 基于 的 协议 是 一 个 零 知 识 证 明 协 议 ,在 随 
机 预言 机 模型 下 签名 中 并 不 会 泄露 信息 ,因此 扩展 后 的 BCC 方案 即 SDAA 方案 I 工 仍然 满 
足 不 可 伪造 性 、 匿 名 性 与 不 可 关联 性 。 


16.5.4 SDAA 方案 I 和 方案 工 比 较 分 析 


从 实现 上 来 看 ,两 种 方案 都 是 BCC 方案 的 一 种 扩展 ,并 且 都 能 在 TPM v1. 2 的 基础 上 
实现 。 本 小 节 将 比较 SDAA 方案 ATRIA. 

上 述 两 个 方案 都 增加 了 BCC 方案 的 灵活 性 。 由 于 在 计算 过 程 中 TPM 的 计算 量 是 一 
个 非常 重要 的 性 能 指标 ,因此 将 比较 在 签名 和 注册 过 程 中 TPM 的 计算 量 。 

SDAA 方案 工 随 着 子 群 成 员 数 的 增加 ,签名 和 验证 的 效率 都 会 降低 。 而 SDAA WRI 
的 签名 长 度 及 签名 效率 不 会 因为 子 群 成 员 数 的 增加 而 增加 。 签 名 和 验证 算法 中 的 主要 运算 
ABR AE. DIH ELM 表示 ,这 里 主要 从 签名 和 验证 \ 注 册 操 作 方 面 比较 这 两 个 方案 
( 见 表 16. 2) , 表 中 +t 表示 子 群 成 员 的 个 数 。SDAA 方案 工 中 签名 算法 和 验证 算法 的 计算 量 
与 成 员 个 数 线性 相关 ,特别 是 在 较 大 群体 中 , 随 着 t 的 增 大 ,签名 算法 和 验证 算法 的 效率 将 
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会 明显 降低 。SDAA 7r 5e IL KRIER A HAEA TE E ERK EA P ADEST. SDAA Jr 
RI. SDAA 方案 I 中 签名 长 度 、 签 名 和 验证 算法 的 计算 量 和 子 群 成 员 个 数 线性 相关 ,在 i 
不 是 很 大 的 情况 下 较为 实用 ,SDAA 方案 开 解 决 了 方案 工 的 不 足 , 签 名 长 度 、 签 名 和 验证 算 
法 的 计算 量 均 独 立 于 子 群 成 员 个 数 。 最 后 ,SDAA 方案 工 的 一 个 额外 的 特性 是 不 仅 能 证 明 
可 信 计 算 平台 属于 某 个 特定 群体 ,同时 还 能 证 明 不 属于 某 个 群体 ,而 方案 工 做 不 到 这 一 点 ; 
方案 工 中 的 操作 需要 TPM 的 参与 ,因此 其 安全 性 根植 于 TPM, 而 方案 卫 中 的 操作 不 需要 
TPM 的 参与 ,如 果 攻 击 方 攻破 主机 ,攻击 方 就 可 以 提取 e; su; ,安全 性 相对 较 低 。 


表 16.2 SDAA 方案 [ 和 方案 工 的 性 能 比较 


签名 操作 /TPM 计算 量 验证 操作 | 注册 操作 /TPM 计算 量 签名 长 度 (B) 
方案 I | (6t 一 DE 十 (2: 一 D)M/2IE 十 2M | 8E--4M 1E+1M/1E+1M 4896t 一 1632 


FRI 14E+ 14M/0E+0M 12E+8M 0 10926 


16.6 基于 双 线 性 映射 的 直接 匿名 证 明 方案 


在 相同 的 安全 强度 下 ,椭圆 曲线 密码 体制 要 比 基 于 大 整数 分 解 和 有 限 域 上 离散 对 数 的 
密码 体制 效率 高 ,并 且 有 更 短 的 私 钥 。 椭 圆 曲线 密码 体制 的 这 个 特性 ,使 得 它 更 适合 于 构建 
下 一 代 TPM, 这 是 因为 以 下 几 点 原因 。 

Q) 目前 TPM1.2 中 采用 的 加 解密 方案 是 基于 RSA 体制 的 , 相 比 ECC 体制 ,RSA 体 
制 的 计算 效率 比较 低 , 目前 很 多 的 密码 系统 都 是 基于 椭圆 曲线 来 实现 的 ,尤其 是 中 国 的 
TCM 已 经 率先 采用 了 ECC H 

(2) 目前 的 隐私 性 保护 方案 BCC 方案 过 于 复杂 ,计算 量 大 ,难以 部 署 ,需要 有 更 有 效 的 
替代 方案 ,并且 BCC 方案 并 不 适合 于 移动 计算 平台 ,因此 有 必要 设计 一 种 新 的 更 有 效 的 隐 
私 性 保护 方案 能 同时 满足 移动 平台 的 需要 。 

直接 匿名 证 明 方案 是 在 群 签名 方案 的 基础 上 发 展 起 来 的 ,与 群 签名 方案 不 同 的 是 在 直 
接 匿 名 证 明 方案 中 ,管理 员 不 能 对 成 员 进行 匿名 性 的 撤销 ,成 员 签名 对 管理 员 也 是 匿名 的 ， 
同时 直接 匿名 证 明 方 案 的 直接 应 用 场景 是 可 信 计 算 平台 (包括 两 部 分 , 即 TPM/TCM 和 主 
机 )。 并 且 在 直接 匿名 证 明 方案 中 必须 提供 一 种 假冒 TPM/TCM 的 检测 机 制 ,防止 假冒 
TPM/TCM 的 欺骗 。 

我 们 在 短 群 签名 方案 *" 写 的 基础 上 ,基于 g-SDH 假设 与 DDH 假设 提出 了 一 种 新 的 基 
于 双 线 性 映射 的 直接 匿名 证 明 方案 中 即 BM-DAA 方案 (简称 CF 方案 ) ,CF 方案 是 目前 提 
出 的 方案 中 效率 最 高 的 ,并 且 拥 有 最 短 的 签名 长 度 。CF 方案 与 BCC 方案 .HS WRAL, 
具有 更 短 的 签名 长 度 , 签 名 长 度 为 2044b, 并 且 在 签名 过 程 中 计算 效率 更 高 。 


16.6.1 CF 方案 


CF 方案 "中 的 基本 思想 是 : 首先 TPM/TCM 与 颁发 者 执行 加 入 过 程 。 TPM/TCM 选 
择 随机 秘密 值 AREE CS gh" ,并 且 向 颁发 者 零 知 识 证 明 TPM/TCM 知道 秘密 值 
和 女 , 颁 发 者 验证 通过 后 给 可 信 计 算 平台 颁发 成 员 证 书 (A,zx,) ,主机 存储 (A,z) ,TPM/TCM 


BCR S TESE LUE & ETE EUR CC 509 


FES t= H) UR eCA Ygi) —eGn «gm * elgi gi) * eC! D. RIETER A BE A en 
计算 平台 计算 知识 签名 SPK{ ct: CA Ygi) —e(ni sg) * eg! go) * e(h'sg2)}(m). Fili 
细 说 明 各 个 过 程 。 

l. 密 钥 生成 算法 

给 定安 全 参数 1 " ,颁发 者 选择 群 G.— gm 4G; — gm (Gr gr. G gm. 
存在 可 计算 的 双 线 性 映射 e:G, X G.—Gz 和 可 计算 的 同 构 q:G«— Gi plg) 二 ,这 些 群 的 
阶 均 是 长 度 为 k 的 素数 请。 颁发 者 随机 选择 YC eZ, ACh) € & GO! TTE Y — gt DUAE 
者 的 公 、 私 钥 对 为 


(pk,sk) = (COpsgi go sgss Er Y Oy) 


2. 加 入 过 程 (Join 协议 ) 
(1) 首先 执行 Pedersen 承诺 方案 , TPM/TCM 选择 秘密 信息 f Er2Z,，, 选择 随机 数 
t € Z , AME C g^h" ,其 中 是 被 承诺 的 秘密 值 ,将 C 发 送 给 颁发 者 ,之 后 执行 零 知识 证 
明 协议 ,证 明 TPM/TCM 拥有 秘密 知识 Sf Ale’. AME 
(D TPM/TCM 随机 选择 (rj,rs )ER CZ! tH C= eth” ,并 将 C' 发 送 给 颁发 者 。 
@ 颁发 者 随机 选择 cE rZ,，, 并 将 c 发 送 给 TPM/TCM, 
© TPM/TCM 计算 sj=rj 十 cf «s; —r, ct ,并 将 s, sz 发 送 给 颁发 者 。 
QD 颁发 者 验证 C EC gh, 
D 颁发 者 随机 选择 rEZ, t € Z, TEE A m Gn Ch007? ,并 将 A c i BEB 
主机 。 
(3) 主机 存储 A、z, 并 将 RIA TPM/TCM, 
(4) TPM/TCM 计算 =t 十 六 ,存储 f 和 t, 主 机 验证 等 式 (16-23) 是 否 成 立 ,主机 验证 
过 程 中 eCg^ ,gs) 和 elh' , gs) 的 值 可 以 向 TPM/TCM 请 求 而 获得 
e(A,Yg#) = e(gi+g2) * eCg/ go) * eCh' go) (16-23) 
通过 Join 协议 过 程 ,可 信 计 算 平台 得 到 成 员 证 书 (A,zx,t) 及 秘密 信息 f, 其 中 主机 存储 
(A,x),TPM/TCM 存储 (f,t)。 从 该 协议 可 以 看 出 ,TPM/TCM 可 以 在 保持 匿名 性 的 同时 
使 用 同一 个 秘密 信息 f 多 次 申请 成 员 证 书 。 
3. 签名 过 程 (Sign) 
CF 方案 的 签名 过 程 如 下 。 
COD 主机 随机 选取 wE eZ, TEE Ti SAh”, T; —g"h 7 T, LT, 分 别 是 对 A 和 zz 的 承 
诺 , 验 证 式 (16-24) 和 式 (16-25) 成 立 
elTi,Y)/elgisg:) = e (h,Y)”e (h.g;)"7*e (gsg:)!/e (Ti +22)" (16-24) 
T = g"h^7, Ty gh = =1 (16-25) 
(2) 接 下 来 证 明 可 信 计 算 平台 拥有 知识 fox w t, EER (16-24) 和 式 (16-25) 成 立 。 
利用 Fiat-Shamir 启发 式 算法 ,将 对 知识 fr、w,t 的 零 知 识 证 明 转换 为 知识 签名 ,计算 辅助 
值 2 一 mwzy0 一 一 zz, 其 中 万 :{0,1) —Z,. 
QD 首先 TPM/TCM 随机 选取 rjr, € Z, ATE RR, 并 将 Ri 发 送 给 主机 
R, = e (gsg2)'Fe (h, go)” 


0 
w RERI — LLL 


© 


机 随机 选取 -rra ora, € Z, ,计算 
R, = Rie (h, YY'«e (Ty gz)se (hy go) , 
R: = geh, R; = Tig h% 
图 主机 计算 c, — HG lh | g Ilg ll gr ll Y ll Ti Il Te Il Ri I| R ll Rs) HRZ c 给 
TPM/TCM, 
@ TPM/TCM 随机 选择 n, € rZ, ,计算 c— HCH Geo, | n) | 00. 
© 主机 计算 s rcc X) ,sa —ra, 十 co 9 Sw — ru T CU 53, — T + có; ; TPM/TCM it 
算 s,—r, cf, sr tet). 
(3) 主机 输出 签名 o= (Ti To sC ssp Sa SiS 95a, ysa )。 


4. 验证 过 程 (Verify) 
COD 给 定 消息 m WEA o= (Ti, To cy io Sps Sis Ses Sws Sa 9 53,) 和 公 钥 (p,g1,82,gT， 
Y.g.h), 
(2) 计算 。 
R= e (Gu gore (hs Y)ve (hy ge)’ e (Ti sg2)* (e(T; Y) /eCgi 82205, 
R',— Tr‘ g’wh*: ,R',— Tk g'h h'a 
(3) 验证 下 列 等 式 是 否 成 立 。 
c È H(ACACg lh lh ll ge las lY ll Ty I Te R^ LR RAO ln | m) 


5. 可 变 匿名 性 机 制 

上 面 给 出 的 签名 对 验证 方 来 说 是 完全 匿名 的 ,为 了 达到 可 变 匿名 性 ,可 信 计 算 平 台 在 产 
生 签名 时 ,使 用 TPM/TCM 的 秘密 f 计算 一 个 承诺 值 T ,同时 计算 时 将 选择 一 个 签名 唯一 
标识 符 (Solely Signature IDentifier ,SSID)。 可 信 计 算 平台 在 签名 时 如 果 选 择 的 SSID 是 相 
同 的 ,那么 由 该 可 信 计 算 平台 生成 的 签名 是 可 关联 的 (Linkability) ,如 果 可 信 计 算 平台 在 生 
成 签名 时 ,随机 选择 SSID, 那么 生成 的 签名 是 完全 匿名 的 。SSID 在 选择 时 可 以 由 TPM/ 
TCM 和 验证 者 共同 协商 确定 。 

为 了 提供 可 变 的 匿名 性 机 制 , 在 执行 签名 操作 时 ,同时 执行 下 面 的 运算 ,下 面 是 群 Cs 
中 的 计算 , 即 


7= Hi(SSID), T; = 7 Ry = Wf R= Tig 
c = HHHQ | g Ilh |l g les lale: YI 
Ti || T2 || Ts | Ri || Re | Rs |] RO || n || m) 
其 中 Hi:{0,1)* 一 G;。 加 入 匿名 性 机 制 之 后 输出 的 签名 是 so 二 (7, Ti To ,Tcymysrys， 
Sz 9Sw 953, 953) o 
验证 签名 是 否 成 立 的 等 式 为 
c S HOIOHG |e lA Wn Mee Ms ler LY T I T N 
T, | RE | Rs | RS IRO no | m) 


6. 假冒 TPM/TCM 检测 (Rogue Tagging) 


如 果 TPM/TCM 内 部 的 秘密 了 泄露 ,验证 者 在 签名 验证 时 必须 对 TPM/TCM 进行 检 
测 ,以 确定 签名 是 否 来 自 于 被 攻陷 的 TPM/TCM。 检 测 的 方法 是 : 将 已 经 泄露 的 TPM/ 
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TCM 秘密 信息 f 加 入 到 撤销 列表 中 ,撤销 列表 中 保存 了 所 有 假冒 TPM/TCM 的 秘密 fT 
于 在 撤销 列表 中 的 ,验证 者 计算 : 
T, =f 
如 果 存 在 某 个 了 使 得 等 式 成 立 ,那么 该 签名 来 自 假冒 的 或 者 已 经 撤销 的 TPM/TCML。 


16.6.2 CF 方案 的 安全 性 证 明 


定理 16.8 iE q SDH 假设 和 群 G: 的 DDH 假设 下 ,CF 方案 安全 地 实现 了 一 个 直接 匿 
名 证 明 系 统 。 

与 文献 [32] 中 的 安全 性 证 明 类 似 ,本 节 将 采用 现实 系统 /理想 系统 (Real-system/ideal- 
system) ARIUT RE WY CF 方案 的 安全 性 。 

1. 理想 系统 可 信 方 全 

下 面 首先 给 出 CF 方案 理想 系统 的 可 信 方 ,该 可 信 方 与 文献 [32] 中 给 出 的 可 信 方 基 
本 上 是 一 致 的 。 在 理想 系统 中 有 以 下 的 参与 方 : 一 个 颁发 者 1, 一 个 身份 为 id; 可 信 平 台 模 
块 TPM/TCM, ig) M: ,一 个 带 TPM/TCM 的 可 信 计 算 平台 H: ,一 个 验证 者 W。 下 面 将 
给 出 CF 方案 的 理想 系统 中 的 可 信 方 工 所 支持 的 操作 。 

(1) 初始 化 操作 (Setup) : 每 个 参与 方 与 了 交互 ,表明 该 参与 方 是 否 已 经 被 攻击 方 攻陷 
(Corrupted) 。 

(2) 加 入 操作 (Join) : 可 信 计 算 平 台 H: H T RHR ,希望 成 为 群 成 员 , 了 询问 Mi; 是 
否 希望 昌 ; 成 为 群 中 的 一 员 , 如 果 M. 同意 ,T 向 颁发 者 I 发 送 消息 表明 身份 为 id; 的 可 信 计 
算 平台 希望 加 入 ,如 果 M 是 假冒 的 , 工 将 向 颁发 者 工 表明 这 一 点 。 如 果 工 批准 , 工 向 互通 
知 其 已 经 成 功 地 加 入 。 

(3) 签名 /验证 操作 (Sign/Verify) : H; 拟 对 消息 m 进行 签名 ,用 的 签名 唯一 标识 符 为 
SSID€ (0,1) * U{L}. Hi 将 m、SSID 发 送 给 T。 Hj TIHU H/M; 是 否 为 群 的 成 员 , 如 
RERET HJE H,/M, 的 请 求 ;否则 ,了 将 m 交 给 相应 的 M;, 询 问 是 否 同 意 签名 。 如 果 
M, 同意 , 工 询问 H: 是 否 需 要 签名 。 如 果 H: 没有 退出 ,T 执行 以 下 步骤 。 

O WR M, EBR, THA V: 假冒 TPM/TCM 对 m 进行 了 签名 。 

© 如 果 SSID= | ,T38 8 V;. H,/M, 已 经 对 m 进行 了 签名 。 

© MR SSID 了 关上 ,TT 检查 H,/M, 是 否 已 经 用 参数 SSID 对 消息 进行 了 签名 。 如 果 是 ， 
则 工 在 它 的 假名 数据 库 中 查找 对 应 的 假名 P ;如 果 不 是 ,将 随机 生成 一 个 假名 PERG T 
通知 V; 假名 为 P 的 平台 对 消息 m HTT ER. 

该 理想 系统 具有 以 下 安全 特性 。 

(D 不 可 伪造 性 (Unforgeability) : 不 是 群 成 员 的 用 户 或 者 已 经 被 撤销 的 群 成 员 不 能 成 
功 地 进行 签名 操作 。 

@ 可 变 匿名 性 (Anonymity) : 验证 者 不 能 标识 出 签名 者 的 身份 ,如 果 SSID= | ,签名 
是 完全 匿名 的 ,如 果 SSIDzE | ,签名 具有 部 分 的 匿名 性 ,验证 者 通过 假名 P 标识 签名 者 。 

@ 不 可 关联 性 (Unlinkability) : 如 果 SSID— | ,验证 者 无 法 区 分 两 个 不 同 的 签名 是 否 
由 同一 个 可 信 计 算 平 台 签发 。 

2. 模拟 器 S 

下 面 将 在 理想 系统 中 构造 模拟 器 S。 模 拟 器 S 将 在 理想 系统 中 代表 被 攻陷 的 参与 方 与 
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工交 互 ,并 且 模 拟 现实 系统 中 的 攻击 方 A。 模 拟 器 S 在 本 地 对 A 进行 黑 盒 访问 (Black-box 
access) ,获得 A 在 协议 的 真实 执行 中 发 送 的 信息 ,然后 提供 给 攻击 方 A 所 期 望 接收 到 的 信 
息 。 在 下 面 的 讨论 中 ,沿用 了 文献 [32] 中 使 用 的 标记 ,大 写字 母 表示 该 参与 方 没有 被 攻陷 
(Corrupted) ,小 写字 母 表示 该 参与 方 已 经 被 攻陷 ,如 (Ihm) 表 示 颁 发 者 了 是 诚实 的 参与 方 ， 
主机 和 TPM/TCM 已 经 被 攻陷 。 

系统 初始 化 的 模拟 是 针对 颁发 者 进行 的 ,分 为 以 下 两 种 情况 。 

CL) 如 果 颁 发 者 被 攻陷 ,那么 模拟 器 S 从 攻击 方 处 接收 到 颁发 者 的 公 钥 (p ,gi 8 Bs 
grYo gh. 

(2) 如 果 颁 发 者 是 诚实 的 ,那么 模拟 器 S 运行 密 钥 生成 算法 得 到 公 钥 (p, ,gs ,8 ， 
grY sg h) MAY. 

在 Join 的 模拟 过 程 中 ,根据 颁发 者 工 主 机 H: 和 TPM/TCM M, 是 否 被 攻陷 ,可 以 分 为 
6 种 情况 ,分 别 为 CIHM) , Chm) , (hM) CiHM) Cihm) GhM) ,下 面 将 分 情况 逐一 讨论 。 

CHM) ,Ghm) ; 在 这 两 种 情况 下 ,所 有 的 操作 都 是 在 参与 方 之 间 进 行 的 ,不 需要 触发 
模拟 器 。 

Chm); 在 这 种 情况 下 ,颁发 者 1 没有 被 攻陷 ,可 信 计 算 平台 (h 和 m) 被 攻陷 ,如 
16.10 所 示 。 模 拟 器 S 从 攻击 方 A 处 得 到 加 入 请 求 ,S 与 A 交互 ,运行 Join 协议 ,在 这 个 
过 程 中 ,A 同时 将 Ts 发 送 给 S 用 于 假冒 TPM/TCM 检测 ,如果 S 第 一 次 接收 到 T, ,那么 S 
存储 T: ,同时 通知 可 信 方 工 表明 可 信 计 算 平台 H: 请 求 加 入 ,模拟 器 S 在 与 可 信 方 通信 的 
过 程 中 将 扮演 理想 系统 中 的 M, 的 角色 。 如 果 可 信 方 工 同意 互 , 加 入 ,那么 模拟 器 S 与 攻 
击 方 A 将 交互 完成 Join 协议 ,如果 工 不 同意 ,那么 模拟 器 S 将 中 止 协议 。 


环境 e 


环境 e | 1 攻击 方 上 
颁发 者 
i| [TPM AM 
| | pens] x" 


颁发 者 主机 H* | | TPM M* 
Sa. 


可 信 方 了 


(a) 现实 系统 (b) 理想 系统 
图 16.10 理想 系统 /现实 系统 模型 (Ihm) 


(IhM) ; 这 种 情况 与 (Ihm) 类 似 ,与 (Ihm) 不 同 的 是 ,模拟 器 将 执行 Join 过 程 中 TPM/ 
TCM M, 执行 的 操作 。 

GHM): 在 这 种 情况 下 ,模拟 器 S 从 可 信 方 工 处 得 到 平台 id, 的 加 入 请 求 。 在 理想 系 
统 中 S 将 扮演 颁发 者 的 角色 ,在 与 攻击 方 交互 的 过 程 中 ,模拟 现实 系统 中 的 H/M: ,如果 
Join 协议 能 够 成 功 地 完成 ,那么 S 将 从 攻击 方 A 处 得 到 证 书 (A,z,t),S 存储 证 书 及 秘密 信 
Bf HER 工 允 许 平台 加 入 ,如 果 S 没有 成 功 地 完成 Join 协议 ,S 将 通知 T 不 允许 平台 
加 入 。 

GhMD : 模拟 器 S 从 攻击 方 A 处 得 到 H: 的 请 求 ,要求 M: 加 入 群 ,模拟 器 S 向 可 信 方 
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T 发 送信 息 表明 H: 希望 加 入 群 。 之 后 ,S Kur far T 处 得 到 请 求 消息 ,表明 具有 身份 id; 
的 平台 能 否 加 入 , 接 下 来 模拟 器 S 以 TPM/TCM M, 运行 Join 协议 。 如 果 Join 协议 能 够 成 
功 地 完成 ,S 从 攻击 方 处 得 到 妇 , 存 储 女 ,通知 可 信 方 工 该 平台 允许 加 入 ;否则 ,S 通知 T 平 
台 不 允许 加 入 。 

在 Sign 的 模拟 过 程 中 ,可 以 分 为 3 种 情况 ,分 别 为 (hIM)、(hm)、《HM) ,下 面 将 分 情况 
逐一 讨论 。 

CHM) , Chm) : 在 这 两 种 情况 中 ,所 有 的 操作 都 是 在 参与 方 之 间 进 行 的 ,不 需要 触发 模 
拟 器 。 

(hM): 模拟 器 S 从 攻击 方 A 处 得 到 请 求 ,S 在 现实 系统 中 扮演 M; 角色 ,模拟 器 执行 以 
下 的 操作 。 

COD © 模拟 器 S 从 A 处 得 到 7 ALT, ,S 在 记录 库 中 查找 ,如 果 7 存在 ,模拟 器 选择 对 应 
AY Ts ,如 果 不 存在 ,随机 选择 Ts ERGs- 

Q Rik T; 给 攻击 方 A。 

(2) 模拟 器 S 伪造 签名 如 下 。 

(D S 随机 选择 sy，,s,€ RZ，。 

Q S 随机 选择 cEkZ,。 

OSHA 

R, = e (g, gite Ch, ge)" CC ,Y)/elgi gi) R, = Tr Gp 
并 将 R ALR, 发 送 给 攻击 方 A。 
@ 模拟 器 S 从 A 处 得 到 ch,S 随机 选择 n, ErZ，,S 完善 随机 预言 机 ,使 得 
c= H(H(ce, | n,) || m) 

(3) S 在 理想 系统 中 控制 H ARE H: i T 请求 诚实 的 TPM/TCM 对 m 签名 。 同 时 
发 送 给 A 以 下 消息 : comssys src 

在 Verify 的 模拟 过 程 中 ,可 以 分 为 4 种 情况 ,分 别 为 OHV)、Chv)、CHv)、ChV)。 下 面 将 
分 情况 逐一 讨论 。 

Chv), (CHV): 在 这 两 种 情况 中 ,所 有 的 操作 都 是 在 参与 方 之 间 进 行 ,不 需要 触发 模 
拟 器 。 

(Hv): 在 这 种 情况 下 ,平台 没有 被 攻陷 ,模拟 器 S 从 可 信 方 工 处 得 到 消息 ,平台 已 经 对 
m 进行 了 签名 。 模 拟 器 S 需要 在 现实 系统 中 模拟 签名 。 

CD © 如 果 SSID— | ,模拟 器 S 随机 选择 2€ r<es>+Ts € s. 

@ 如 果 SSIDA |..S 在 假名 数据 库 记 录 中 查找 也, 如 果 忆 存在 ,查找 对 应 的 <7, T:>, 
如 果 没 有 找到 ,计算 y= Hi (SSID) ,随机 选择 Ts Er<g >. 

© S 随机 选择 Ti T; € em m. 

(2) S 按 以 下 方式 伪造 签名 。 

(D S 随机 选择 sr,s +5w Sq 15683, ERZ po 

Q S 随机 选择 cERZ,。 

@ 5 计算 

Ri =e (g,g2)’e (he Y) we (hogs) te (Togo (e(Ti,Y)/el(g1,g2))™ 
Rs= Tr'givh’s, RQ— Taghha, RQ— Ty 
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@ S 选择 n,, 完 善 随机 预言 机 ,使 得 
c - HOIOHG g lA ll esi les ll gs ler lY lU I Tl 
Ts | Ri | Ro IRS I RO Hn |] mm) 
(OD S 发 送 消息 m 的 签名 o— Gs Ti Ti Ts ,cn spss Ss suo sa ) 给 攻击 方 A。 
V): 模拟 器 S 从 攻击 方 处 得 到 对 消息 m 的 签名 c 一 (7 Ti T2 Ts consessu nsus 
sa 55,2 ,首先 验证 签名 o 的 正确 性 。 如 果 签 名 o 不 合法 ,S 忽略 消息 请 求 ,如 果 o 合法 ,需要 
做 假冒 TPM/TCM 检测 ,根据 撤销 列表 中 f 验证 Ts 三 。 
COD 如 果 找 到 对 应 的 使 得 了, 二 ,那么 模拟 器 S 检查 是 否 存在 与 f 对 应 的 id;, 如果 
存在 这 样 的 id; S 作为 主机 H: HR AAA T HS m 签名 。 如 果 不 存在 对 应 的 id;,S 检 
查 签名 中 的 消息 对 二 7,T; 二 是 否 是 第 一 次 出 现 ,S 选择 一 个 已 经 被 攻陷 的 Mi( 该 M; 还 没有 
成 为 群 成 员 ) ,以 M; 的 身份 请 求 可 信 方 工 加 入 ,并 且 将 该 M; 标记 为 假冒 的 ,最 后 以 H; 的 
身份 对 消息 mm 签名。 
(2) 如 果 找 不 到 对 应 的 f, 表 明 对 m 进行 签名 的 平台 是 假冒 的 ,但 还 没有 放 和 人 撤销 列 
表 。 模 拟 器 S 必须 找 出 签名 来 自 于 哪个 平台 。 模 拟 器 检查 签名 中 的 一 7 Ts E VA Je 
出 现 过 。 
QD MR<y. Ts > 不 是 第 一 次 出 现 ,S 做 以 下 操作 。 
* 如 果 S 在 Sign HRE HEH T <q T:> ,但 是 S 已 经 在 Sign 的 模拟 过 程 中 回 
答 了 可 信 方 ,那么 S 输 出 “模拟 失败 ”。S 模拟 失败 的 原因 在 于 攻击 方 伪造 了 签名 ， 
并 且 签名 中 T, 是 模拟 器 选择 的 。 因 为 该 签名 本 质 上 是 对 T. 的 离散 对 数 的 零 知 识 
证 明 ,因此 如 果 存 在 这 样 的 攻击 方 A, 那 么 就 存在 另 一 个 攻击 方 A' ,A“ 调 用 攻击 方 
A ,利用 回 绕 调用 (Rewinding) 技 术 能 够 解决 群 Cs 上 的 DDH 问题 。 

。 否则 ,找到 与 一 7,Ts 之 对 应 的 主机 H; TPM/TCM M; ,作为 主机 H; 与 可 信 方 工交 
互 ,完成 对 m 的 签名 。 

© 如 果 二 7y,T; 二 是 第 一 次 出 现 , 模 拟 器 S 为 二 ,Ts 二 找到 对 应 的 TPM/TCM M,, 
TPM/TCM 已 经 被 攻陷 。 

* WR SSID= | .S 任意 选择 一 个 没有 标记 为 假冒 TPM/TCM 的 M:S 5 T REE 

成 对 消息 m 的 签名 。 

。 MR SSIDH | .S 选择 一 个 没有 标记 为 假冒 TPM/TCM 的 M, ,如 果 能 够 找到 这 样 
的 Mi,S 与 交互 完成 对 消息 m 的 签名 。 如 果 找 不 到 ,表明 攻击 方 可 以 成 功 地 伪造 
签名 ,S 将 模拟 失败 ,但 是 由 引 理 16. 5 可 得 ,如 果 攻 击 方 能 够 成 功 地 伪造 签名 ,那么 
必定 存在 一 个 算法 攻破 q- SDH 难题 。 

引 理 16.4 给 定 m 的 两 个 签名 。 

Ge Ti T2 Ts ,a ims Ra SR SRLSRA sr m 15% BH: 
Up Ti T; Ts e n RRs, RY ,Rss eS 95959, 98%, HS] s 


使 得 
(3555,58; rA 5%) x (A A er pr T 
a= H: (H: Gli Gl glhla lale lac YT: IT I 
Ts | Ri || RE I| Rs ERO n lm) 4c 


"A 
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= H,(H,(H2 (q || & I h I & I 82 Il Bs ll Er IY II Ti y T; y 
Ts | Ri ER? | Rs ERO lan oo 
Ri = e (Gr gife (h,Y)%e Gs gie (Ti gf (e(Ti Y) /elg sg) 
R'— e(g.gi fe (h,Y)%e (gi Te (Ti 5 g2)% CeCT Y) /eCgi sg), 
R,= Tro gth*, R= Tr*gthi. R= Tig. RQ— TÉ g^ hs 
Ri= Tyn, Ri= Trey 
那么 可 以 计算 出 (A,z,t,w, 有 满足 方程 (16-23)。 
证 明 下 面 的 (A,z,t,w, 放 满足 引 理 16. 4。 
Ro Pol "P 
—x sy 5. $,— $, 
ger laf ci1 一 cz t Ci =e 
引 理 16.5 在 颁发 者 没有 被 攻陷 的 情况 下 ,如 果 存 在 攻击 方 A 运行 Join 协议 少 于 q— 
1 次 ,能 够 伪造 出 合法 签名 (mo 一 (7Thi T2 Ta Comte 8p 9 Se Se Sens 0 ,那么 就 存在 一 
个 攻击 方 A' 能 够 解决 9-SDH 问题 。 
证 明 假设 算法 A' 的 输入 为 g 十 2 元 组 (gi,82,8?,87 ,… ,8?),p(g:) 一 g1,4' 与 做 
以 下 游戏 : 
(1) A' 随 机 选择 a € rZ, (Ca; sbi) ER(Z,)?}iete .merte ti 
(2) 令 wo 一 7 一 aw ,A' 随 机 选择 9€ «Z , ,生成 颁发 者 公 钥 信息 如 下 。 


G = cL 1L noe E991, G = WG) 


g—4 QC E m ,h-—g,Y-G 
(3) A' 输 出 公 钥 pk — Co. Gi Gi Y gh) ,将 pk 发 送 给 A。 
C) 接 下 来 A' 调 用 互 (作为 需要 加 入 群 的 可 信 计 算 平台 ) 运 行 Join 协议 。 
© A' 回 绕 调用 (Rewind)A 得 到 f.i. 
Q A' FE A xta" 
f-—(bh—f)/0—t, z—a 
A = (G,g/h ** Vat = (G; gh Mere 


=p (go Ete ME, eed es C. omo 
ARR Ae BA 
(5) A 输出 签名 对 (m,o) ,使 得 验证 算法 能 通过 ,根据 Forking 8| #8 #15] E 16. 4, A^ it 
HIHA inst DEG X (Z) ,满足 等 式 (16-23)。 
artt Hon 


a 
其 中 A= (Gigih Mot = (G gh) — 9 (oL uu TT «7, ] ,将 等 式 进行 


j=1,j#m 


a 


化 简 得 到 A = p (uo 78777 ,从 以 上 分 析 可 以 得 到 ,对 给 定 的 q-SDH 元 组 ,其 解 为 
( (aA/(y his ya" ) ym p au) 


3. 模拟 器 的 正确 性 
最 后 ,证明 环 境 e 不 能 区 分 自己 是 运行 在 现实 系统 中 还 是 理想 系统 中 ,也 就 是 证 明 现实 
系统 和 理想 系统 中 的 输出 参数 是 计算 不 可 区 分 的 。 在 模拟 的 过 程 中 ,S 扮演 了 现实 系统 中 
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的 不 同 角色 ,模拟 器 S 在 模拟 过 程 中 选择 的 参数 (输出 ) 有 一 些 ;, CT. ,这 些 参数 都 是 随机 
选 定 的 ,在 现实 系统 中 这 些 参 数 是 由 秘密 信息 经 过 计算 得 到 的 。 由 于 这 些 参 数 是 统计 不 可 
区 分 的 ,因此 在 Z, 中 也 是 计算 不 可 区 分 的 。 

另外 ,c 由 模拟 器 随机 选择 ,在 现实 系统 中 是 Hash 函数 的 计算 结果 ,由 于 是 在 随机 预言 
机 模型 下 ,所 以 这 两 者 是 计算 不 可 区 分 的 。 


16.6.3 CF 方案 实现 考虑 


1. 签名 长 度 

在 CF 方案 中 ,如 果 考 虑 匿名 性 保护 机 制 , 最 后 得 到 的 签名 o 包 括 了 4 个 群 G, 中 的 元 
素 ,8 个 Z, 中 的 元 素 , 假 设 GAG, ,利用 文献 [48] 中 定义 的 椭圆 曲线 簇 , 当 |p| 二 二 170 
时 ,Gr AG, 中 的 元 素 长 度 分 别 为 1020b 和 171b, 则 CF 方案 的 签名 长 度 为 2044b。 


2. 计算 效率 

由 于 指数 运算 /多 指数 运算 及 双 线 性 对 运算 是 最 耗 时 的 运算 ,这 里 将 根据 方案 中 用 到 的 
指数 运算 (多 指数 运算 ) 和 双 线 性 对 运算 来 估算 计算 开销 。 下 面 分 别 计算 方案 中 加 入 过 程 ， 
签名 和 验证 操作 的 可 信 计 算 平台 的 计算 开销 (考虑 匿名 性 机 制 )。 其 中 双 线 性 运算 
el(g,g2)\e(h,Y) ,eCh gi) eT) +g.) —eCA ^ go) * e (ho go)” 都 是 可 以 预先 计算 的 。 

(1) 加 入 过 程 : TPM/TCM 做 2 次 指数 运算 。 

(2) 签名 操作 : 主机 做 5 次 指数 运算 ,TPM/TCM 做 4 次 指数 运算 。 

(3) 验证 操作 : 4 次 多 指数 运算 和 1 次 双 线 性 运算 。 


3. 与 其 他 方案 的 比较 
这 里 将 CF 方案 与 BCC 方案 和 HS 方案 进行 比较 ,具体 的 性 能 指标 在 表 16. 3 列 出 ,其 
中 “BM” 表 示 双 线性 运算 ,“ME” 表 示 指 数 运算 (多 指数 运算 ),“SC” 表 示 模 平方 运算 ,“MC” 
表示 乘法 运算 。 并 且 由 于 在 计算 过 程 中 TPM/TCM 的 计算 量 是 一 个 非常 重要 的 性 能 指标 ， 
因此 将 比较 在 签名 过 程 中 TPM/TCM 的 计算 量 。 对 于 指数 运算 ,将 参照 文献 L49] 给 出 的 方 
法 估算 计算 开销 ,对 于 某 个 指数 运算 , 设 ms 是 指数 的 二 进 制 表 示 的 比特 长 度 ,ms 是 指数 的 
二 进 制 表示 中 1 的 个 数 。 那 么 该 指数 运算 的 计算 开销 可 以 估算 为 m 次 模 平方 运算 和 m 
次 乘法 运算 。 
在 HS 方案 5 中 ,安全 参数 的 一 般 取 值 为 
1,— 2048, a —9/8, = = 
1,— 540, 1,— 300, 1,— 160 
那么 其 长 度 至 少 为 7614b。 
而 在 BCC 方案 中 ,安全 参数 的 一 般 取 值 为 
1,— 2048. 1, — 104. 1,— 368. VL= 120. 1, = 2536, 
1,— 80, 1g —160, 1, —80, lp — 1632, J, = 208 
其 长 度 至 少 为 20555b。 
从 表 16.3 可 以 看 出 ,CF 方案 与 其 他 的 直接 匿名 证 明 方案 相 比 , 签 名 长 度 大 大 缩短 ,能 
有 效 地 节省 传输 带宽 ,更 重要 的 是 由 于 CF 方案 可 以 采用 椭圆 曲线 来 实现 ,因此 指数 运算 的 
效率 要 比 其 他 方案 高 ,同时 最 耗 时 的 双 线 性 对 运算 可 以 在 主机 上 执行 ,为 新 一 代 基 于 ECC 
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算法 的 TPM/TCM 提供 了 一 种 隐私 性 保护 解决 方案 。 
表 16.3 直接 匿名 证 明 方案 的 性 能 比较 


BCC 方案 20555b dico RUN 4ME 十 0OBM 4ME+0BM 38} RSA,DDH 
HS 方案 7614b MUT 5ME+0BM 3ME+0BM 强 RSA,DDH 
CF 方案 2044b pas ln Mc) 4ME+0BM 4ME+1BM q-SDH ,DDH 


4, 椭圆 曲线 选择 

超 椭 圆 曲线 是 具有 附加 代数 结构 的 特殊 曲线 ,在 密码 算法 中 ,一 直 以 来 都 避免 使 用 这 类 
曲线 ,因为 附加 的 代数 结构 使 得 这 类 曲线 易于 遭受 一 些 特 殊 的 攻击 。 但 是 ,一般 标准 的 椭圆 
曲线 密码 学 系统 (如 ElGamal 加 密 算法 或 者 ECDSA 签名 算法 ) 可 以 使 用 随机 产生 的 椭圆 曲 
线 实现 ,实现 基于 双 线 性 对 的 密码 系统 需要 的 椭圆 曲线 必须 具有 一 定 的 性 质 , 不 能 够 随机 产 
生 , 而 超 椭圆 曲线 可 以 实现 双 线性 对 。 

下 面 选择 合适 的 椭圆 曲线 。 对 于 群 G1 Gs Gr 及 其 所 对 应 的 双 线 性 映射 ,可 以 使 用 文 
献 [48] 给 出 的 椭圆 曲线 ,如 可 以 使 用 以 下 的 有 限 域 F, (p 三 3 mod 4) 上 的 超 椭 圆 曲 线 : 

E: 一 zs 十 工 

利用 以 上 椭圆 曲线 实现 的 双 线 性 对 基于 Fy 上 的 离散 对 数 问题 , 取 p 为 512b, 其 安全 强 

度 相 当 于 解决 1024b 的 RSA 问题 。 


16.7 小 结 


可 信 计 算 平台 技术 目前 已 成 为 计算 机 安全 技术 最 主要 的 发 展 趋势 之 一 ,而 远程 证 明 是 
可 信 计 算 平台 提供 的 一 大 特色 和 核心 功能 ,是 目前 可 信 计 算 领域 最 为 热门 的 研究 方向 之 一 。 
信息 安全 国家 重点 实验 室 可 信 计 算 项 目 组 针对 可 信 计 算 中 的 一 些 核 心 问题 进行 了 深入 系统 
研究 ,并 研制 了 一 套 可 信 计 算 测 评 原 型 系统 ,在 可 信 计 算 信任 链 构 建 、 远 程 证 明 、 测 评 方法 等 
方面 取得 了 一 批 自主 创新 成 果 ,部 分 工作 已 在 文献 [52] 一 [56] 中 做 了 较为 详细 的 总 结 。 本 
章 主要 介绍 了 我 们 自己 的 一 些 工作 ,对 其 他 一 些 有 代表 性 的 工作 也 做 了 一 些 综述 和 对 比 介 
绍 , 感 兴趣 的 读者 可 从 文中 介绍 的 线索 参阅 相关 文献 ,中 文 综述 文献 可 参阅 文献 [57]。 陈 晓 
峰 博 士 和 秦 宇 博士 也 参加 了 本 章 的 写作 ,作者 在 此 表示 衷心 的 感谢 。 

另外 ,值得 一 提 的 是 ,在 本 章 的 写作 过 程 中 交 蔡 使 用 了 TPM 和 TCM 这 两 个 核心 术语 ， 
有 的 方案 使 用 了 其 中 一 个 ,有 的 方案 二 者 兼用 , 其 实 这 不 是 本 质 的 ,不 管 是 TPM 还 是 
TCM:, 只 要 提供 适当 的 密码 运算 功能 ,这 些 方案 都 可 以 使 用 。 
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